Москва
поддержка о компании блог
получить консультацию
Москва
Отдел продаж
+7 (800) 500-64-94
Техническая поддержка
+7 (800) 555-90-84
каталог
услуги
маркировка
о компании

Политика в отношении обработки персональных данных в ООО «АЙТИЭС СЕРВИС»

1.Информация о документе

Наименование документа Политика в отношении обработки персональных данных в ООО «АЙТИЭС СЕРВИС»
Назначение документа Обработка и обеспечение безопасности персональных данных
Название процесса
Владелец процесса
Участники процесса
Нормативные документы Работники ООО «АЙТИЭС СЕРВИС»
Минимальный срок актуализации документа

Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных».

Постановление Правительства РФ от 1 ноября 2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Постановление Правительства РФ от 15 сентября 2008 года №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

Максимальный срок актуализации документа 5 лет
Ограничение доступа нет

2. Общие положения

2.1. Термины и определения

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Компания (Оператор) – ООО «АЙТИЭС СЕРВИС» (ООО «АЙТИЭС СЕРВИС», ИНН 7743397221, ОГРН 1227700718519, юридический адрес: 125212, г. Москва, Выборгская ул., д. 16, стр. 1, пом. 8/2) самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Контролируемая зона – пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание работников и посетителей Компании, а также транспортных средств.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных».

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Субъект персональных данных – физическое лицо, прямо или косвенно определенное или определяемое с помощью персональных данных.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.2. Цели и сфера действия Политики

Политика в отношении обработки персональных данных в ООО «АЙТИЭС СЕРВИС», (далее – Политика) является основополагающим локальным нормативным актом, определяющим политику Компании в отношении обработки и обеспечения безопасности персональных данных, цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в Компании.

Настоящая Политика определяет политику Компании как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

Основной целью настоящей Политики является создание основы для соблюдения прав и свобод человека и гражданина при обработке его персональных данных Компанией. Все работники Компании, участвующие в бизнес-процессах, подразумевающих обработку персональных данных, руководствуются настоящей Политикой.

2.3. Законодательство Российской Федерации в области обработки и обеспечения безопасности персональных данных

Настоящий документ разработан с учетом положений следующих нормативных правовых актов Российской Федерации:

  • Конституция Российской Федерации;
  • Доктрина информационной безопасности Российской Федерации;
  • Федеральный закон от 19.12.2005 №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
  • Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» (далее – ФЗ №152 «О персональных данных»);
  • Трудовой кодекс Российской Федерации;
  • Постановление Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Постановление Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» 7 и других нормативных правовых актов, регулирующих отношения, связанные с обработкой персональных данных, в том числе в сфере обеспечения их безопасности.

2.4. Принципы обработки персональных данных

В основе обработки персональных данных в Компании лежат следующие принципы:

  • осуществление обработки персональных данных на законной и справедливой основе;
  • ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;
  • соответствие содержания и объема обрабатываемых персональных данных заявленным целям их обработки, отсутствие избыточности обрабатываемых персональных данных по отношению к целям их обработки;
  • недопустимость объединения баз данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях;
  • обеспечение точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных;
  • обеспечение хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
  • обеспечение уничтожения персональных данных по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2.5. Основания для обработки персональных данных

Обработка персональных данных Компанией осуществляется в следующих случаях:

  • с согласия субъекта персональных данных (в том числе, работников) на обработку его персональных данных;
  • для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Компанию функций, полномочий и обязанностей;
  • для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, в том числе в случае реализации Компанией своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • для осуществления прав и законных интересов Компании или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • в случае участия лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах; для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • в случае, если такая обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  • в случае, когда персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом;
  • в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости, а также биометрических персональных данных Компанией возможна только на основании согласия субъекта персональных данных в письменной форме и в соответствии с применимыми требованиями действующего законодательства и локальных актов.

Персональные данные могут быть получены не от субъекта персональных данных (от третьего лица или из другого источника), при условии предоставления Компании подтверждения наличия оснований, предусмотренных ФЗ №152 «О персональных данных». При этом до начала обработки персональных данных субъекту направляется уведомление об обработке его персональных данных, за исключением следующих случаев:

  • субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
  • персональные данные получены Компанией на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • осуществляется обработка персональных данных, разрешенных субъектом персональных данных для распространения, с соблюдением запретов и условий, предусмотренных ФЗ №152 «О персональных данных»;
  • осуществляется обработка персональных данных для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта персональных данных;
  • предоставление субъекту персональных данных сведений, содержащихся в уведомлении, нарушает права и законные интересы третьих лиц.

2.6. Обработка персональных данных в целях продвижения товаров, работ, услуг

Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке, в том числе путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, может осуществляться Компанией только при условии предварительного согласия субъекта персональных данных и прекращается по его требованию

2.7. Конфиденциальность персональных данных

Персональные данные не раскрываются третьим лицам и не распространяются Компанией без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

2.8. Передача персональных данных третьим лицам

Компания при осуществлении своей деятельности может передавать персональные данные субъектов третьим лицам (уполномоченным органам и контрагентам Компании) при наличии соответствующих правовых оснований, соблюдении требований законодательства Российской Федерации и при надлежащем обеспечении безопасности персональных данных в случаях:

  • с согласия субъекта персональных данных на передачу его персональных данных;
  • для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Компанию функций, полномочий и обязанностей;
  • для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, в случае, если предмет такого договора включает в себя выполнение Компанией действий по передаче персональных данных, в том числе совершаемых по распоряжению субъекта персональных данных;
  • для осуществления прав и законных интересов Компании или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • в случае, если такая передача персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

Передача персональных данных Компанией третьим лицам ограничивается передачей только тех категорий персональных данных, которые необходимы для достижения соответствующей цели обработки персональных данных.

2.9. Взаимодействие с федеральными органами исполнительной власти

Взаимодействие с федеральными органами исполнительной власти, в том числе с уполномоченным органом по защите прав субъектов персональных данных, по вопросам обработки Компанией персональных данных и обеспечения их безопасности, осуществляется в соответствии с законодательством Российской Федерации.

2.10. Взаимодействие с субъектами персональных данных

Компания способствует реализации законных прав субъектов персональных данных и осуществляет реагирование на запросы и обращения субъектов персональных данных, в том числе предоставление им информации, связанной с обработкой их персональных данных, в соответствии с требованиями законодательства Российской Федерации.

3. Цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки обработки и хранения персональных данных, порядок их уничтожения

Обработка персональных данных субъектов персональных данных осуществляется Компанией в заранее определенных целях.

Для каждой цели обработки персональных данных в Компании определены соответствующие категории и перечень обрабатываемых персональных данных, категории субъектов персональных данных, персональные данные которых обрабатываются, способы, сроки обработки и хранения персональных данных, порядок их уничтожения.

Цели обработки персональных данных и перечень обрабатываемых персональных данных, категории субъектов, способы, сроки обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований приведены в Приложении к настоящей Политике.

Персональные данные подлежат уничтожению в следующих случаях:

  • при достижении цели обработки персональных данных или при утрате необходимости в достижении цели обработки персональных данных, если иное не предусмотрено ФЗ №152 «О персональных данных»;
  • в случае невозможности обеспечения правомерности обработки персональных данных, в отношении которых выявлена неправомерная обработка;
  • в случае отзыва субъектом персональных данных согласия на обработку персональных данных, если иное не предусмотрено ФЗ №152 «О персональных данных».

В случае отзыва субъектом персональных данных согласия на их обработку персональные данные не подлежат уничтожению, если оператор вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных ФЗ №152 «О персональных данных» или иными федеральными законами.

Уничтожение персональных данных субъекта персональных данных осуществляется комиссией, созданной на основании приказа Компании. Документальной фиксацией уничтожения персональных данных субъекта является оформление соответствующего акта об уничтожении персональных данных.

Уничтожение персональных данных, зафиксированных на материальных носителях, производится следующими способами:

  • уничтожение материальных носителей производится путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления;
  • уничтожение части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание);
  • стирание персональных данных с материального носителя производится по технологии, предусмотренной для данного типа носителя, с применением средств гарантированного уничтожения информации;
  • бумажные и прочие сгораемые материальные носители уничтожаются путем измельчения на мелкие части, исключающего возможность последующего восстановления информации (шредирование), или термической обработки (сжигание).

Уничтожение персональных данных из информационных систем персональных данных производится встроенными средствами информационной системы администраторами информационных систем.

Компания может использовать файлы сookie для запоминания неперсонифицированных персональных данных о субъектах персональных данных при пользовании сайтом https://itsgroup.ru, интерактивными услугами и приложениями, собирать и обобщать всю автоматически сохраняемую неперсонифицированную информацию о субъектах персональных данных и хранить её в файлах статистики в целях осуществления сервисного и информационно-справочного обслуживания физических лиц, предоставления информации об услугах Компании и партнеров Компании, в том числе взаимодействие с физическими лицами посредством интернет-сайта, платформ, площадок, приложения, сервисов.

Компания может использовать статистические данные и файлы cookie для их последующей обработки системами Яндекс.Метрика, myTracker, Пиксель VK Рекламы. Сведения, собранные с помощью cookie, хранятся в том числе и на серверах указанных систем в соответствии с их политикой конфиденциальности. Субъект персональных данных может самостоятельно управлять файлами сookie путем изменения настроек браузера. Изменения пользовательских настроек, в результате которых файлы сookie будут заблокированы, могут привести к недоступности отдельных компонентов сайта https://itsgroup.ru.

4. Обеспечение безопасности персональных данных

Мероприятия по обеспечению безопасности персональных данных направлены на защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Для разработки и проведения мероприятий по обеспечению безопасности персональных данных в Компании назначаются структурные подразделения, ответственные за обеспечение безопасности персональных данных.

Разработка и проведение мероприятий по обеспечению безопасности персональных данных в Компании также может осуществляться на договорной основе сторонними организациями, имеющими соответствующие лицензии.

Мероприятия по обеспечению безопасности персональных данных при их автоматизированной и неавтоматизированной обработке включают в себя:

  • определение состава информационных систем персональных данных Компании;
  • определение перечня и типа угроз безопасности персональных данных, актуальных для информационных систем персональных данных Компании;
  • определение необходимого уровня защищенности персональных данных при их обработке в информационных системах персональных данных Компании;
  • создание системы защиты персональных данных, включающей организационные и технические меры по обеспечению безопасности персональных данных, среди которых:
    • назначение ответственного за организацию обработки персональных данных в Компании;
    • назначение подразделений, ответственных за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных Компании;
    • утверждение перечня работников, доступ которых к персональным данным, обрабатываемым в информационных системах персональных данных, необходим для выполнения ими служебных обязанностей; o периодическое проведение обучения работников по вопросам обработки обеспечения безопасности персональных данных;
    • организация режима обеспечения безопасности помещений, в которых хранятся носители персональных данных и размещены технические средства информационных систем персональных данных, препятствующего возможности неконтролируемого проникновения в эти помещения лиц, не имеющих права доступа в эти помещения, и обеспечение сохранности таких носителей и технических средств;
    • использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в том числе шифровальных (криптографических) средств защиты информации;
    • управление доступом к информационным ресурсам информационных систем персональных данных;
    • резервирование технических средств, дублирование массивов и носителей персональных данных; o использование защищенных каналов связи при передаче персональных данных через сети связи общего пользования (Интернет);
    • предотвращение внедрения в информационные системы персональных данных вредоносных программ и программных закладок; o межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационных систем персональных данных;
    • обнаружение вторжений в информационные системы персональных данных, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
    • анализ защищенности информационных систем персональных данных, предполагающий применение специализированных программных средств; o использование средств антивирусной защиты;
  • и др
  • оценку эффективности и контроль выполнения реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных.

Определение типа угроз безопасности персональных данных и необходимого уровня защищенности персональных данных при их обработке в информационных системах персональных данных Компании производится Комиссией по классификации информационных систем персональных данных в соответствии с положениями Постановления Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Состав и полномочия Комиссии по классификации информационных систем персональных данных определяется приказом по Компании.

Решение Комиссии об определении типа угроз безопасности персональных данных и необходимого уровня защищенности персональных данных при их обработке в информационных системах персональных данных Компании оформляется соответствующим актом.

Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится:

  • до ввода информационной системы персональных данных в эксплуатацию;
  • периодически, при этом периодичность проведения такой оценки устанавливается Компанией (но не реже, чем предусмотрено действующим законодательством Российской Федерации).

Для проведения оценки эффективности реализованных мер по обеспечению безопасности могут привлекаться на договорной основе сторонние организации, имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Особенности обеспечения безопасности персональных данных при их обработке без использования средств автоматизации определяются Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства Российской Федерации от 15.09.2008 № 687.

5. Контроль за выполнением требований по обработке и обеспечению безопасности персональных данных

Компания осуществляет контроль за выполнением требований по обработке и обеспечению безопасности персональных данных, установленных действующим законодательством Российской Федерации и локальными нормативными актами Компании.

6. Финансирование мероприятий по организации обработки и обеспечению безопасности персональных данных

Финансирование мероприятий по организации обработки и обеспечению безопасности персональных данных осуществляется за счет средств Компании и предусматривается бюджетом Компании.

7. Ответственность

Работники Компании при нарушении установленного порядка обработки и обеспечения безопасности персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации

8. Контактная информация

Общество с ограниченной ответственность «АЙТИЭС СЕРВИС», ИНН 7743397221, ОГРН 1227700718519, юридический адрес: 125212, г. Москва, Выборгская ул., д. 16, стр. 1, пом. 8/2, e-mail: info@itsgroup.ru.

оглавление
  1. Информация о документе
  2. Общие положения
  3. Цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки обработки и хранения персональных данных, порядок их уничтожения
  4. Обеспечение безопасности персональных данных
  5. Контроль за выполнением требований по обработке и обеспечению безопасности персональных данных
  6. Финансирование мероприятий по организации обработки и обеспечению безопасности персональных данных
  7. Ответственность
  8. Контактная информация
получить консультацию
рады видеть вас на нашем сайте ООО «АЙТИЭС СЕРВИС»!
чтобы всё работало как надо, мы используем файлы cookie. они позволяют персонализировать сервисы и улучшать сайт на основе анализа данных. детали — в Политике конфиденциальности.
оставаясь на сайте, вы принимаете использование cookies.