Политика обработки данных
- Область применения. 3
- Основные принципы Политики. 3
- Объекты и субъекты Политики. 6
- Основные положения об обработке ПДн. 8
- Сведения о соблюдении Обществом законодательно установленных прав субъектов ПДн 9
- Сведения о принимаемых мерах по обеспечению выполнения Обществом обязанностей оператора при обработке ПДн. 10
- Ответственность. 11
- Область применения
- Настоящая Политика ООО «Норильское торгово-производственное объединение» в области обработки персональных данных (далее – Политика) определяет основные принципы и условия обработки персональных данных (далее – ПДн) в ООО «Норильское торгово-производственное объединение»далее – Общество или ООО «НТПО»), а также меры по обеспечению безопасности ПДн в Общества.
- Настоящая Политика разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон), иных федеральных законов, регулирующих вопросы обработки ПДн, а также принятых в исполнение подзаконных нормативных правовых актов РФ.
- Политика направлена на обеспечение прав и свобод человека и гражданина при обработке Обществом ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в соответствии с требованиями действующего законодательства РФ.
- Политика обязательна для исполнения всеми работниками Общества, участвующими в процессе обработки ПДн.
- Политика публикуется на корпоративном сайте Общества в информационно-телекоммуникационной сети «Интернет» по адресу: www.ntpo.ru
- Основные принципы Политики
- Общество, являясь в соответствии с положениями Закона оператором ПДн, в своей деятельности обеспечивает соблюдение установленных Законом принципов обработки ПДн, описанных в пп. 4.1.1 – 4.1.7 настоящей Политики.
- Обработка ПДн осуществляется на законной и справедливой основе.
- Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей:
- Общество, являясь в соответствии с положениями Закона оператором ПДн, в своей деятельности обеспечивает соблюдение установленных Законом принципов обработки ПДн, описанных в пп. 4.1.1 – 4.1.7 настоящей Политики.
- Не производится обработка ПДн, несовместимая с целями сбора ПДн.
- Не производится объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
- Обработке подвергаются только ПДн, которые отвечают целям их обработки.
- Содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям их обработки.
- При обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Общество принимает необходимые меры по удалению или уточнению неполных, или неточных ПДн.
- Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн. Обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
- В Обществе обрабатываются ПДн следующих категорий субъектов:
- работников Общества;
- членов семьи и иных родственников работников Общества;
- назначенных выгодоприобретателей по соответствующим договорам страхования работников Общества;
- получателей алиментов от работников Общества;
- соискателей на замещение вакантных должностей в Обществе;
- лиц, ранее являвшихся работниками Общества;
- членов семьи и иных родственников лиц, ранее являвшихся работниками Общества;
- контрагентов Общества (включая их работников и представителей);
- потенциальных контрагентов Общества (включая их работников и представителей);
- владельцев, в том числе бенефициаров, (включая их работников и представителей) контрагентов Общества;
- владельцев, в том числе бенефициаров, (включая их работников и представителей) потенциальных контрагентов Общества;
- владельцев, в том числе бенефициаров, (включая их работников и представителей) Общества;
- участников судебных процессов и исполнительных производств, в которые вовлечено Общество;
- лиц, направляющих обращения Обществу;
- лиц, посещающих объекты недвижимости Общества;
- иностранных граждан, посещающих Общество с деловым визитом;
- участников и очевидцев дорожно-транспортного происшествия, в которое было вовлечено принадлежащее Обществу транспортное средство.
- Требования по организации обработки и обеспечению безопасности ПДн в Общества определяются:
- требованиями ратифицированной РФ Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн;
- требованиями законодательства РФ и иных нормативных правовых актов в области ПДн (в том числе требованиями Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности России в области обеспечения безопасности ПДн), нормативно-методическими документами Общества и организационно-правовыми документами Общества;
- требованиями Трудового кодекса РФ;с учетом оценки вреда, который может быть причинен субъектам ПДн в случае нарушения действующего законодательства РФ;
- с учетом российских и международных стандартов в области ИБ.
- С целью выполнения требований законодательства РФ в области ПДн в Общества действуют следующие процессы, связанные с обработкой и обеспечением безопасности ПДн:
- организация обработки ПДн;
- взаимодействие с субъектами ПДн;
- взаимодействие с органами государственной власти;
- повышение осведомленности пользователей ПДн[1];
- обеспечение безопасности ПДн;
- контроль за соблюдением требований в сфере обработки и защиты ПДн.
- ПДн, обрабатываемые в Общества;
- ИСПДн, функционирующие в Общества;
- требования по обеспечению безопасности ПДн при их обработке в ИСПДн, и системы защиты ПДн, функционирующие в Общества;
- нормативно-методические и организационно-правовые документы Общества в области ПДн.
- С целью организации, контроля обработки и обеспечения безопасности ПДн в Общества определены следующие участники, являющиеся субъектами Политики:
- Ответственный за организацию обработки ПДн в Обществе;
- Ответственные за обеспечение безопасности ПДн в Обществе;
- Комиссия по обеспечению безопасности ПДн в Общества.
- Ответственный за организацию обработки ПДн получает указания непосредственно от Президента Компании. Ответственному за организацию обработки ПДн предоставляются сведения, указанные в ч. 3 ст. 22 Закона.
- Ответственный за организацию обработки ПДн в Общества выполняет следующие функции:
- организация разработки РМД Общества по вопросам обработки и обеспечения безопасности ПДн;
- организация проведения мероприятий по внутреннему контролю и (или) аудита ИБ на соответствие обработки ПДн требованиям законодательства РФ, а также утвержденными РМД Общества в области ПДн;
- организация оценки вреда, который может быть причинен субъектам ПДн в случае нарушения требований Закона, соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом;
- организация режима обеспечения безопасности помещений, в которых размещены ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- организация взаимодействия от имени Общества с Уполномоченным органом по защите прав субъектов ПДн и иными уполномоченными органами в случаях, предусмотренных законодательством РФ о ПДн, с привлечением работников правовых служб в ГО/филиалах/представительстве Общества;
- организация формирования и направления в Уполномоченный орган по защите прав субъектов ПДн в сроки, установленные Законом, уведомления об обработке Обществом (о намерении Общества осуществлять обработку) ПДн или информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку ПДн;
- осуществление регулярного мониторинга фактов включения Общества в ежегодный сводный план проведения плановых проверок субъектов предпринимательства на предмет соблюдения обязательных требований в области обработки ПДн;
- организация разработки и формирование плана и программы повышения осведомленности по вопросам обработки и обеспечения безопасности ПДн.
- С целью обеспечения безопасности ПДн Ответственный за организацию обработки ПДн в Общества обеспечивает:
- вовлеченность руководителей Общества – деятельность по организации обработки и обеспечению безопасности ПДн инициируется и контролируется на уровне руководителей Общества;
- соответствие мер обеспечения безопасности ПДн требованиям законодательства РФ и РМД Общества в области ПДн;
- использование для обеспечения безопасности ПДн совокупности организационных и технических мер;
- повышение уровня осведомленности лиц, допущенных к обработке ПДн по вопросам обеспечения безопасности ПДн;
- постоянное совершенствование процессов обеспечения безопасности ПДн.
- Ответственные за обеспечение безопасности ПДн в Обществе выполняют следующие функции:
- организация консолидации перечня процессов обработки ПДн и перечня ИСПДн Общества;
- организация работ по обеспечению безопасности ПДн при осуществлении как автоматизированной обработки ПДн, так и неавтоматизированной обработки ПДн;
- организация создания и ввода в эксплуатацию системы защиты ПДн;
- организация проведения оценки соответствия требованиям законодательства РФ в области ПДн (мероприятий по внутреннему контролю и (или) аудиту ИБ в части ПДн);
- организация информирования работников Общества о требованиях законодательства РФ в области обеспечения безопасности ПДн, а также РМД Общества по вопросам обеспечения безопасности ПДн.
- Комиссия по обеспечению безопасности ПДн выполняет следующие функции:
- проведение оценки ключевых параметров ИСПДн;
- установление необходимого уровня защищенности ПДн при их обработке в ИСПДн;
- организация и проведение правовой оценки возможности создания (модернизации) ИСПДн, в том числе с учетом требований законодательства РФ и РМД Общества;
- проведение оценки вреда, который может быть причинен субъектами ПДн в случае нарушения действующего законодательства РФ в области ПДн;
- определение приоритетных направлений деятельности Общества по обеспечению безопасности ПДн при их обработке с использованием средств автоматизации и без использования таких средств;
- оценка эффективности деятельности по обеспечению безопасности ПДн и принятие решений о необходимости совершенствования принятых мер по обеспечению безопасности ПДн;
- координация процесса удаления, уничтожения ПДн, включая уничтожение бумажных носителей ПДн.
- Основные положения об обработке ПДн
- Обработка ПДн в Общества включает в себя любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, в том числе сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение ПДн.
- Общество может осуществлять обработку биометрических ПДн только при наличии согласия в письменной форме субъекта ПДн.
- Общество осуществляет обработку ПДн в случаях, определенных Законом.
- Общество осуществляет обработку специальных категорий ПДн в случаях, определенных Законом.
- Общество может осуществлять обработку ПДн о судимости субъекта ПДн только в случаях и в порядке, которые определяются в соответствии с федеральными законами РФ.
- Обработка ПДн прекращается при достижении одного из следующих условий:
- достижение целей обработки ПДн и максимальных сроков хранения документов, их содержащих;
- утрата необходимости в достижении целей обработки ПДн;
- выявление неправомерной обработки ПДн;
- отзыв субъектом ПДн согласия на обработку ПДн, за исключением случаев, предусмотренных законодательством РФ в области ПДн.
- Общество может осуществлять трансграничную передачу ПДнв порядке, предусмотренном Законом.
- Общество может создавать и использовать общедоступные источники ПДн, в которые включаются ПДн субъектов ПДн с их письменного согласия. Общество гарантирует исключение из общедоступных источников ПДн сведений о субъекте ПДн в любое время по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.
- Общество осуществляет обработку ПДн с использованием средств автоматизации и без использования средств автоматизации.
- Сведения о соблюдении Обществом законодательно установленных прав субъектов ПДн
- Общество при обработке ПДн гарантирует соблюдение всех законных прав субъектов ПДн.
- Для получения доступа субъекта ПДн к его ПДн в соответствии с положениями ст. 14 Закона субъект ПДн, а также его законный представитель, вправе направить соответствующий положениям ст. 14 Закона официальный запрос на доступ к своим ПДн.
- Запросы в части предоставления информации об обработке ПДн, а также запросы на уточнение, изменение или прекращение обработки ПДн и отзывы согласия на обработку ПДн направляются официальным письмом по адресу Общества, указанному в Едином государственном реестре юридических лиц, или по адресу: 663319, Красноярский край, город Норильск, пл. Металлургов, д.9. Копии запросов и отзывов согласия для ускорения их рассмотрения по желанию субъекта ПДн могут быть направлены по адресу: Priemnaya_NTPO@nornik.ru
- Общество не осуществляет обработку ПДн без предварительного согласия субъекта ПДн в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации.
- Общество не осуществляет принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки ПДн.
- Для реализации и защиты своих прав и законных интересов субъект ПДн имеет право обратиться к Общества. Общество рассматривает любые обращения и жалобы со стороны субъектов ПДн, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, применения мер ответственности к виновным лицам и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
- Субъект ПДн вправе обжаловать действия или бездействие Общества путем обращения в уполномоченный орган по защите прав субъектов ПДн.
- Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
- Сведения о принимаемых мерах по обеспечению выполнения Обществом обязанностей оператора при обработке ПДн
- Общество принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, возложенных на нее в соответствии с действующим законодательством РФ в области ПДн, в том числе:
- В Общества издаются и регулярно актуализируются документы, определяющие политику Общества в отношении обработки ПДн, нормативно-методические документы, устанавливающие правила обработки ПДн, а также нормативно-методические документы, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ в области ПДн, устранение последствий таких нарушений.
- В Общества применяются организационные и технические меры по обеспечению безопасности ПДн в соответствии с ч. 2 ст. 19 Закона, в том числе:
- определяются угрозы безопасности ПДн при их обработке в информационных системах ПДн;
- применяются организационные и технические меры по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;
- применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации при наличии обоснованной необходимости;
- производится оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;
- производится учет машинных носителей ПДн;
- производится обнаружение фактов несанкционированного доступа к ПДн и принимаются соответствующие меры;
- производится восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- производится установление правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в информационной системе ПДн;
- производится контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн.
- Осуществляется контроль соответствия обработки ПДн требованиям законодательства РФ в области ПДн и требованиям по защите ПДн.
- Производится оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Закона, соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом.
- Производится ознакомление работников Общества, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе требованиями по защите ПДн, документами, определяющими политику в отношении обработки ПДн, нормативно-методическими документами Общества по вопросам обработки ПДн и обеспечению безопасности ПДн и (или) обучение указанных работников.
- При сборе ПДн Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ.
- Общество обязуется представить РМД Общества по вопросам обработки и обеспечения безопасности ПДн и (или) иным образом подтвердить принятие вышеуказанных мер по запросу уполномоченного органа по защите прав субъектов ПДн.
- Общество выполняет свои обязанности, возникающие при обращении к нему субъекта ПДн или его представителя, а также уполномоченного органа по защите прав субъектов ПДн в соответствии с положениями Закона.
- Общество выполняет свои обязанности по устранению нарушений законодательства РФ, допущенных при обработке ПДн, по уточнению, блокированию и уничтожению ПДн в соответствии с положениями Закона.
- Общество принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, возложенных на нее в соответствии с действующим законодательством РФ в области ПДн, в том числе:
- Ответственность
- Ответственность за ненадлежащую организацию и неосуществление контроля исполнения требований настоящей Политики несет лицо, ответственное за организацию обработки ПДн.
- Ответственность за несвоевременное внесение изменений и дополнений в настоящую Политику несет лицо, ответственное за организацию обработки ПДн.
от 12.12.93 |
Конституция РФ |
от 30.11.1994 № 51-ФЗ от 26.01.1996 № 14-ФЗ от 26.11.2001 № 146-ФЗ от 18.12.2006 № 230-ФЗ |
Гражданский кодекс РФ |
от 30.12.2001 № 197-ФЗ
|
Трудовой кодекс РФ |
от 31.07.1998 N 146-ФЗ |
Налоговый кодекс РФ |
от 19.12.2005№ 160-ФЗ |
Федеральный закон «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» |
от 27.07. 2007 № 152-ФЗ |
Федеральный закон «О персональных данных» |
от 01.04.1996 № 27-ФЗ |
Федеральный закон «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» |
от 22.10.2004 № 125-ФЗ |
Федеральный закон «Об архивном деле в РФ» |
от 21.07.1997 №116-ФЗ |
Федеральный закон «О промышленной безопасности опасных производственных объектов» |
от 21.07.1993 № 5485-1 |
Закон РФ «О государственной тайне» |
от 31.05.1996 № 61-ФЗ |
Федеральный закон «Об обороне» |
от 12.02.1998 № 28-ФЗ |
Федеральный закон «О гражданской обороне» |
от 01.11.2012 №1119 |
Постановление Правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» |
от 06.02.2010 № 63 |
Постановление Правительства РФ «Об утверждении Инструкции о порядке допуска должностных лиц и граждан РФ к государственной тайне» |
от 27.11.2006 № 719 |
Постановление Правительства РФ «Об утверждении Положения о воинском учете» |
ГОСТ Р ИСО/МЭК 27001-2021 |
Национальный стандарт Российской Федерации «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» |
Закон
ИСПДн
РМД
Общество
ПДн
Политика
РД
РФ |
Федеральный закон от 27.07.2006 № 152-ФЗ Информационная система персональных данных
Регламентирующие документы (нормативно-методические/организационно-правовые документы) ООО «НТПО»
Персональные данные
Политика ООО «НТПО» в области обработки персональных данных Регламентирующий документ
Российская Федерация |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- Автоматизированная обработка персональных данных: обработка персональных данных с помощью средств вычислительной техникиБаза данных: представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ).
- Биометрические персональные данные: сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
- Блокирование персональных данных временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
- Информационная система персональных данных: совокупность персональных данных, содержащихся в базах данных, и обеспечивающих их обработку информационных технологий и технических средств.
- Конфиденциальность персональных данных: обязательное для оператора и иных лиц, получивших доступ к персональным данным, требование не передавать третьим лицам персональные данные без согласия субъекта персональных данных или иного законного основания.
- Ответственный за организацию обработки персональных данных в Общества: назначенный приказом Президента Общества работник ООО «НТПО», отвечающий за соблюдение ООО «НТПО» и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных.
- Неавтоматизированная обработка персональных данных (обработка персональных данных без использования средств автоматизации): обработка персональных данных, содержащихся в информационных системах персональных данных, либо извлечённых из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационных системах персональных данных либо были извлечены из неё.
- Несанкционированный доступ: доступ к информации, ИТ-системам и компонентам ИТ-инфраструктуры лиц, не имеющих на это право, в нарушение правил разграничения доступа, но с использованием штатных средств, предоставляемых средствами вычислительной техники или информационной системы.
- Оператор (ПДн): государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
- Обезличивание персональных данных: действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
- Обработка персональных данных: любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
- Персональные данные: любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
- Предоставление персональных данных: действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
- Распространение персональных данных: действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
- Специальные категории персональных данных: персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, о судимости.
- Структурное подразделение: подразделение Общества, являющееся исполнителем отдельных процессов, функций, работ, участвующее в хозяйственной деятельности Общества, но не имеющее хозяйственной самостоятельности в рамках Общества.
- Субъект персональных данных: физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
- Трансграничная передача персональных данных: передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или юридическому лицу.
- Угроза безопасности информации: совокупность условий и факторов, определяющих наличие потенциальной или реально существующей опасности, связанной с реализацией риска информационной безопасности.
- Уничтожение персональных данных: действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.