ПОЛИТИКА
в области обработки персональных данных
Содержание
- Общие положения
2. Принятые сокращения, термины и определения
3. Понятие и состав персональных данных
4. Цели обработки персональных данных
5. Сроки обработки персональных данных
6. Объем и содержание персональных данных
7. Права
7.1. Права Общества
7.2. Права субъекта персональных данных
8. Принципы и условия обработки персональных данных
9. Обеспечение безопасности персональных данных
10. Заключительные положения
1. Общие положения1.1. Важнейшим условием реализации целей деятельности Общества является обеспечение необходимого и достаточного уровня информационной безопасности активов, к которым, в том числе, относятся персональные данные и технологические процессы, в рамках которых они обрабатываются.
1.2. Обеспечение безопасности персональных данных является одной из приоритетных задач Общества.
1.3. Обработка и обеспечение безопасности информации, отнесенной к персональным данным, осуществляется в Обществе в соответствии с требованиями законодательства РФ и позволяет обеспечить защиту персональных данных, обрабатываемых как без использования средств автоматизации, так и в информационных системах персональных данных, т.е. в системах, целью создания которых является обработка персональных данных, а также в иных информационных системах, в которых персональные данные обрабатываются совместно с информацией, защищаемой в соответствии с требованиями, установленными для этой информации (режим защиты сведений, составляющих коммерческую тайну и др.).
1.4. Настоящая «Политика в области обработки персональных данных» (далее — Политика) разработана в соответствии с требованиями законодательства Российской Федерации, в том числе Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных»).
1.5. Настоящая Политика является локальным нормативным актом Общества, регламентирующим деятельность в сфере обработки и защиты персональных данных.
1.6. Настоящая Политика разработана с целью определения принципов, порядка и условий обработки персональных данных работников Общества и иных лиц, чьи персональные данные обрабатываются Обществом, обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также с целью установления ответственности должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.7. Требования настоящей Политики обязательны для выполнения всеми работниками Общества.
1.8. В случаях, установленных Федеральным законом «О персональных данных», Общество уведомляет уполномоченный орган по защите прав субъектов персональных данных.
1.9. Персональные данные являются строго охраняемой информацией ограниченного доступа, и на нее распространяются все требования, установленные нормативными актами о защите информации ограниченного доступа.
2. Принятые сокращения, термины и определения2.1. В настоящем документе применяются термины, определения и обозначения, в том числе следующие:
Доступ к персональным данным - ознакомление с персональными данными, их обработка, в частности, копирование, модификация или уничтожение персональных данных.
Информационная безопасность - состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования и т.п.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных - обязательное для соблюдения Обществом или получившим доступ к персональным данным лицом требование не допускать распространение персональных данных без согласия их субъекта или наличия иного законного основания.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
3. Понятие и состав персональных данных3.1. Общество обрабатывает персональные данные следующих категорий субъектов персональных данных:
3.1.1. Персональные данные работника Общества — информация, необходимая Обществу в связи с трудовыми отношениями и касающаяся конкретного работника.
3.1.2. Персональные данные кандидата на трудоустройство.
3.1.3. Персональные данные аффилированного лица или персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося аффилированным лицом по отношению к Обществу, — информация, необходимая Обществу для отражения в отчетных документах о деятельности Общества в соответствии с требованиями федеральных законов Российской Федерации и иных нормативных правовых актов.
3.1.4. Персональные данные клиента (потенциального клиента, клиента) Общества, — информация, необходимая Обществу для выполнения своих обязательств в рамках договорных отношений с клиентом и для выполнения требований законодательства Российской Федерации.
4. Цели обработки персональных данных4.1. Общество осуществляет обработку персональных данных в следующих целях:
4.1.1. Исполнения обязательств в рамках организации общегородского проката велотранспорта и оказания услуг населению по прокату велосипедов в г. Москва.
4.1.2. Заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическими лицами, индивидуальными предпринимателями и иными лицами в случаях, предусмотренных законодательством Российской Федерации и Уставом Общества.
4.1.3. Организации кадрового учета работников Общества, обеспечения соблюдения законодательства Российской Федерации в процессе оформления трудовых отношений с работниками Общества, в том числе ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучении и продвижении по службе; исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение заполнения первичной статистической документации в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, иными федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также Уставом и нормативными актами Общества.
5. Сроки обработки персональных данных5.1. Сроки обработки персональных данных определяются в соответствии со сроком действия договора с субъектом персональных данных, Приказом Минкультуры Российской Федерации от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроком исковой давности, а также иными требованиями законодательства Российской Федерации и нормативными документами Банка России.
5.2. В Обществе создаются и хранятся документы, содержащие персональные данные субъектов персональных данных. Использование в Обществе данных типовых форм документов осуществляется в соответствии с требованиями, установленными Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
6. Объем и содержание персональных данных6.1. Общество определяет объем и содержание обрабатываемых персональных данных, руководствуясь требованиями законодательства Российской Федерации, в том числе Конституцией Российской Федерации, Трудовым кодексом и иными федеральными законами, в соответствии с нормативными актами Общества, исходя из принципов:
6.1.1. Законности целей и способов обработки персональных данных.
6.1.2. Соответствия целей обработки персональных данных целям, заранее определенным и заявленным при их сборе, а также полномочиям Общества.
6.1.3. Соответствия объема и содержания обрабатываемых персональных данных, способов их обработки целям обработки персональных данных.
6.1.4. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6.2. Получение согласия субъекта на обработку его персональных данных Обществом осуществляется в соответствии с Федеральным законом «О персональных данных» и нормативными актами Общества.
7. Права7.1. Права ОбществаОбщество, как оператор персональных данных, вправе:
- отстаивать свои интересы в суде;
- предоставлять персональные данные третьим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации (налоговые, правоохранительные органы и др.);
- отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством Российской Федерации;
- обрабатывать персональные данные субъекта персональных данных без его согласия в порядке и случаях, предусмотренных законодательством Российской Федерации.
7.2. Права субъекта персональных данныхСубъект персональных данных имеет право:
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- получать информацию о перечне обрабатываемых Банком его персональных данных и источнике их получения;
- получать информацию о сроках обработки его персональных данных, в том числе о сроках их хранения;
- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда, в судебном порядке.
8. Принципы и условия обработки персональных данных8.1. Обработка персональных данных Обществом осуществляется на основе принципов:
- законности и справедливости целей и способов обработки персональных данных;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Общества;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
- уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.
8.2. Условия обработки персональных данных в Обществе устанавливаются законодательством Российской Федерации.
9. Обеспечение безопасности персональных данных9.1. Общество предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
9.2. В целях координации действий по обеспечению безопасности персональных данных в Обществе назначен ответственный за обеспечение безопасности персональных данных.
9.3. Методы и способы защиты персональных данных соответствуют требованиям приказа ФСТЭК РФ от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», а также приказа ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (в случае определения Оператором необходимости использования средств криптографической защиты информации для обеспечения безопасности персональных данных).
10. Заключительные положения10.1. Настоящая Политика является общедоступной и подлежит размещению на официальном сайте Общества.
10.2. Настоящая Политика должна пересматриваться и совершенствоваться на регулярной основе, а также в случаях изменения законодательства Российской Федерации, нормативных документов Общества.
10.3. Контроль исполнения требований настоящей Политики осуществляется ответственными лицами Общества за обработку и обеспечение безопасности персональных данных.
10.4. Ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации.
Москва, 2025
