ПОЛИТИКА ГРУППЫ ГМС В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общие положения

1.1. ООО «УК «Группа ГМС» (далее – Компания) уважает неприкосновенность частной жизни субъектов персональных данных и заботится о безопасности обрабатываемой информации.

1.2. Настоящий документ определяет политику Компании в области обработки персональных данных с использованием средств автоматизации или без использования таких средств.

1.3. «Политика ООО «УК «Группа ГМС» в отношении обработки персональных данных» (далее – Политика) разработана в соответствии с действующим международным и российским законодательством о персональных данных.

1.4. Положения Политики распространяются на все предприятия Группы ГМС.

2. Термины и определения

Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных.

3. Принципы обработки персональных данных

Обработка персональных данных в Компании осуществляется на основе следующих принципов:

  1. обработка персональных данных осуществляется на законной и справедливой основе;
  2. обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
  3. содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки;
  4. при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;
  5. хранение персональных данных осуществляется в соответствии с целями обработки и законодательством Российской Федерации;
  6. обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4. Условия обработки персональных данных

4.1. Обработка персональных данных осуществляется с соблюдением принципов и правил, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

4.2. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

4.3. Компания может осуществлять обработку персональных данных по поручениям других операторов с согласия субъектов персональных данных.

4.4. Компания вправе поручить обработку персональных данных другому оператору с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим оператором договора. При этом Компания в договоре обязывает оператора, осуществляющего обработку персональных данных по поручению Компании, соблюдать принципы и правила обработки персональных данных, предусмотренные российским и международным законодательством.

4.5. В случае если Компания поручает обработку персональных данных другому оператору, ответственность перед субъектом персональных данных за действия указанного оператора несет Компания. Оператор, осуществляющий обработку персональных данных по поручению Компании, несет ответственность перед Компанией.

4.6. Компания может осуществлять трансграничную передачу персональных данных.

4.7. В Компании запрещена обработка специальных категорий персональных данных.

4.8. В Компании запрещена обработка персональных данных с целью продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации.

5. Цели обработки персональных данных

5.1. В Компании обработка персональных данных субъектов осуществляется в целях:

  1. управления трудовыми взаимоотношениями Компании и субъектов персональных данных, в том числе поиска и подбора кандидатов на замещение вакантных должностей;
  2. организации услуг по обучению, банковскому и медицинскому обслуживанию, добровольному медицинскому страхованию, предоставлению связи;
  3. управления контактной информацией субъектов персональных данных;
  4. осуществления пропускного и внутриобъектового режима, учета рабочего времени;
  5. ведения финансового, бухгалтерского и налогового учетов в соответствии с международным и российским законодательствами;
  6. управления взаимоотношениями с контрагентами.

6. Обязанности Компании при обработке персональных данных

В соответствии с требованиями Федерального закона «О персональных данных» Компания обязана:

6.1. Предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ.

6.2. По требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональных данных являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

6.3. Вести учет обращений субъектов персональных данных.

6.4. Уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных, и при необходимости получать согласие субъекта на обработку.

6.5. Прекратить обработку и уничтожить персональные данные в случаях:

  1. достижения целей обработки персональных данных;
  2. отзыва субъектом персональных данных своего согласия на обработку;
  3. выявления неправомерной обработки Компанией персональных данных (при невозможности обеспечить правомерность обработки).

7. Меры по обеспечению безопасности персональных данных при их обработке

7.1. При обработке персональных данных Компания принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

7.2. Обеспечение безопасности персональных данных достигается, в частности:

  1. назначением ответственных за организацию обработки персональных данных и за обеспечение безопасности персональных данных при их обработке с использованием средств автоматизации и без использования таких средств;
  2. обучением персонала Компании, участвующего в обработке персональных данных, вопросам обеспечения безопасности персональных данных;
  3. определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  4. применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
  5. осуществлением аудита соответствия обработки персональных данных действующему законодательству, принятым нормативным правовым актам, требованиям к защите персональных данных, принимаемых мер по обеспечению безопасности персональных данных и уровню защищенности информационных систем персональных данных;
  6. установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  7. применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  8. обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
  9. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

8. Права субъектов персональных данных

8.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Компанией. А также требовать от Компании, уточнения персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки.

8.2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами РФ.

8.3. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Компании. Компания рассматривает обращения, расследует изложенные факты и принимает все необходимые меры для урегулирования конфликтных ситуаций в досудебном порядке.

8.4. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе вправе обжаловать неправомерные действия или бездействие Компании путем обращения в уполномоченный орган и в судебном порядке.

9. Ответственность за нарушение норм, регулирующих защиту персональных данных

9.1. Работник Компании, по вине которого было допущено нарушение норм, регулирующих обработку и защиту персональных данных субъектов персональных данных, может быть привлечен к дисциплинарной, административной, уголовной, материальной и гражданско-правовой ответственности.

10. Опубликование Политики

В соответствии с п. 2 статьи 18.1 Федерального закона РФ от 27 июня 2006 г. №152-ФЗ «О персональных данных», Компания публикует настоящую Политику на корпоративном web-сайте www.grouphms.ru для ознакомления с ней всех заинтересованных лиц.

11. Пересмотр Политики

Необходимость пересмотра положений настоящей Политики возникает в связи с:

  1. развитием системы информационной безопасности, совершенствованием методов и средств защиты персональных данных при их обработке;
  2. изменением международного и российского законодательства в сфере обращения персональных данных;
  3. изменением целей, принципов и условий обработки персональных данных в Компании.

Решение о необходимости внесения изменений в настоящую Политику принимается действующей Рабочей группой, сформированной в соответствии с нормативными актами Компании для управления процессами обработки и защиты персональных данных.