Политика обработки персональных данных

<p>
     1. Общие положения
</p>
<p>
     1.1. Положение об обработке и защите персональных данных (далее – Положение) определяет требования к порядку обработки и защите (обеспечению безопасности) персональных данных субъектов, персональные данные которых обрабатываются АО «Рэдком-Интернет» (далее – Общество) с использованием средств автоматизации или без использования таких средств.
</p>
<p>
     1.2. Целью данного Положения является защита персональных данных от несанкционированного доступа, неправомерного их использования или утраты.
</p>
<p>
     1.3. Настоящее Положение разработано на основании статей Конституции РФ, Трудового кодекса РФ, Кодекса об административных правонарушениях РФ, Гражданского кодекса РФ, Уголовного кодекса РФ, а также Федерального закона «Об информации, информационных технологиях и о защите информации» и Федерального закона «О персональных данных».
</p>
<p>
     1.3. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.
</p>
<p>
     1.4. Настоящее Положение утверждается и вводится в действие приказом Генерального директора и является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным.
</p>
<p>
<br>
</p>
<p>
     2. Обработка персональных данных
</p>
<p>
     2.1. Под обработкой персональных данных понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных.
</p>
<p>
     2.2. В целях обеспечения прав и свобод человека и гражданина Общество и его представители при обработке персональных данных обязаны соблюдать следующие общие требования:
</p>
<p>
     2.2.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
</p>
<p>
     2.2.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
</p>
<p>
     2.2.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
</p>
<p>
     2.2.4. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
</p>
<p>
     2.2.5. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Общество должно принимать необходимые меры, либо обеспечивать их принятие, по удалению или уточнению неполных или неточных данных.
</p>
<p>
</p>
<p>
     2.2.6. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
</p>
<p>
     2.3. Общество не имеет права получать и обрабатывать персональные данные о политических, религиозных и иных убеждениях и частной жизни субъекта персональных данных. В случаях, непосредственно связанных с вопросами трудовых отношений с субъектом персональных данных, данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны Обществом только с письменного согласия работника.
</p>
<p>
     2.4. Общество не имеет право получать и обрабатывать персональные данные о членстве в общественных объединениях или профсоюзной деятельности субъекта персональных данных, за исключением случаев, предусмотренных федеральным законом.
</p>
<p>
     2.5. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
</p>
<p>
     2.6. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
</p>
<p>
     2.7. Обработка персональных данных в целях продвижения товаров, работ услуг на рынке путем осуществления прямых контактов с потенциальными потребителями с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных.
</p>
<p>
<br>
</p>
<p>
     3. Доступ к персональным данным
</p>
<p>
     3.1. Внутренний доступ (доступ внутри Общества).
</p>
<p>
     3.1.1. Лица, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании утвержденного Генеральным директором списка.
</p>
<p>
     3.2. Внешний доступ.
</p>
<p>
     3.2.1. К числу массовых потребителей персональных данных вне Общества можно отнести государственные и негосударственные функциональные структуры:
</p>
<p>
     - налоговые инспекции;
</p>
<p>
     - правоохранительные органы;
</p>
<p>
     - органы статистики;
</p>
<p>
     - страховые агентства;
</p>
<p>
     - военкоматы;
</p>
<p>
     - органы социального страхования;
</p>
<p>
     - пенсионные фонды;
</p>
<p>
     - подразделения муниципальных и федеральных органов управления;
</p>
<p>
     3.2.2. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.
</p>
<p>
     3.2.3. Организации, в которые работник Общества, как субъект персональных данных может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к таким персональным данным работника только в случае его письменного разрешения.
</p>
<p>
     3.2.4. Другие организации.
</p>
<p>
     Сведения о работающем работнике Общества или уже уволенном могут быть предоставлены другой организации только по письменному запросу на бланке организации, с приложением копии нотариально заверенного заявления работника.
</p>
<p>
     Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника.
</p>
4. Передача персональных данных.<br>
<br>
4.1. При передаче персональных данных Общество должно соблюдать следующие требования:<br>
<ul>
    <ul>
        <ul>
            <ul>
                <ul>
                    <ul>
                        <ul>
                            <ul>
                                <ul>
                                    <ul>
                                        <ul>
                                            <ul>
                                                <ul>
                                                </ul>
                                            </ul>
                                        </ul>
                                    </ul>
                                </ul>
                            </ul>
                        </ul>
                    </ul>
                </ul>
            </ul>
        </ul>
    </ul>
</ul>
<ul>
    <li>не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральным законом;</li>
    <li>не сообщать персональные данные в коммерческих целях без письменного согласия субъекта персональных данных;</li>
    <li>предупредить лиц, получающих персональные данные о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными в порядке, установленном федеральными законами;</li>
    <li>разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;</li>
    <li>копировать и делать выписки персональных данных разрешается исключительно в служебных целях по письменному запросу;</li>
    <li>не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением информации о состоянии здоровья работника, которые относятся к вопросу о возможности выполнения данным работником трудовой функции;</li>
    <li>передавать персональные данные работника Общества представителям работников в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.</li>
</ul>
<p>
     4.2. Обществом может осуществляться трансграничная передача персональных данных.
</p>
<p>
     До начала осуществления трансграничной передачи персональных данных Общество обязано убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
</p>
<p>
     Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
</p>
<p>
</p>
<p>
     1) наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
</p>
<p>
     2) предусмотренных международными договорами Российской Федерации;
</p>
<p>
     3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
</p>
<p>
</p>
<p>
     4) исполнения договора, стороной которого является субъект персональных данных;
</p>
<p>
</p>
<p>
     5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
</p>
<p>
<br>
</p>
<p>
     5. Субъекты персональных данных
</p>
<p>
     5.1. Обществом (оператором по обработке персональных данных) осуществляется обработка персональных данных следующих субъектов персональных данных:
</p>
<p>
     1) абоненты – физические лица, которых связывают с Обществом договорные отношения об оказании услуг связи, а также конечные пользователи абонентов – юридических лиц;
</p>
<p>
     2) работники – физические лица, вступившие в трудовые отношения с Обществом.
</p>
<p>
<br>
</p>
<p>
     6. Персональные данные абонентов Общества
</p>
<p>
     6.1. Цели обработки персональных данных.
</p>
<p>
     Обработка персональных данных абонентов Общества осуществляется с целью исполнения обязательства по договорам об оказании услуг связи.
</p>
<p>
     6.2. Перечень обрабатываемых персональных данных.
</p>
<p>
     Состав персональных данных абонентов Общества определяется содержанием заявления о заключении договора об оказании услуг связи, договором об оказании услуг связи, иными документами, необходимыми для заключения и обеспечения исполнения договоров об оказании услуг связи, а также законодательством о связи и п. 14 Постановления Правительства РФ «Об утверждении Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность» № 538 от 27.08.2005г. и включает в себя:
</p>
<p>
     - фамилия, имя, отчество;
</p>
<p>
     - место жительства;
</p>
<p>
     - год и место рождения;
</p>
<p>
     - реквизиты основного документа, удостоверяющего личность;
</p>
<p>
     - сведения о правах владения или пользования телефонизируемым помещением;
</p>
<p>
     - номера телефонов;
</p>
<p>
     - сведения о расчетах за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента.
</p>
<p>
     6.3. Сроки хранения персональных данных.
</p>
<p>
     Срок хранения персональных данных абонентов Общества соответствует общему сроку исковой давности, предусмотренному ст. 196 Гражданского кодекса РФ и составляет три года с даты расторжения договора об оказании услуг связи.
</p>
<p>
<br>
</p>
<p>
     7. Персональные данные работников Общества
</p>
<p>
     7.1. Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.
</p>
<p>
     7.2. Цели обработки персональных данных.
</p>
<p>
     Обработка персональных данных работников осуществляется с целью обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечение сохранности имущества.
</p>
<p>
     7.3. Перечень обрабатываемых персональных данных:
</p>
<p>
     - анкетные и биографические;
</p>
<p>
     - паспортные;
</p>
<p>
     - адрес места жительства, регистрации;
</p>
<p>
     - домашний телефон;
</p>
<p>
     - об образовании, специальности;
</p>
<p>
     - о занимаемой должности;
</p>
<p>
     - о наличии судимости;
</p>
<p>
     - о содержании трудового договора;
</p>
<p>
     - о составе декларируемых сведений о наличии материальных ценностей;
</p>
<p>
     - о содержании декларации, подаваемой в налоговую инспекцию;
</p>
<p>
     - сведения о трудовом и общем стаже;
</p>
<p>
     - сведения о составе семьи, месте работы или учебы членов семьи и родственников, характере взаимоотношений в семье;
</p>
<p>
     - сведения о воинском учете;
</p>
<p>
     - сведения о заработной плате;
</p>
<p>
     - сведения о социальных льготах;
</p>
<p>
     - подлинники и копии приказов по личному составу;
</p>
<p>
     - трудовые книжки работников;
</p>
<p>
     - основания к приказам по личному составу;
</p>
<p>
     - дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
</p>
<p>
     - копии отчетов, направляемые в органы статистики.
</p>
<p>
     7.4. Документы, содержащие персональные данные работников Общества являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения - соответствующий гриф ограничения на них не ставится.
</p>
<p>
     7.5. При принятии решений, затрагивающих интересы работника, Общество не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Общество учитывает личные качества работника, его добросовестный и эффективный труд.
</p>
<p>
     7.6. Сроки хранения документов, содержащих персональные данные работников Общества определяются нормативными сроками хранения управленческих и иных документов, утвержденными Руководителем Федеральной архивной службы России 06.10.2000г.
</p>
<p>
     7.7. Права и обязанности работников в области защиты его персональных данных.
</p>
7.7.1. Работник обязуется предоставлять персональные данные, соответствующие действительности.<br>
<ul>
    <ul>
        <ul>
            <ul>
                <ul>
                    <ul>
                        <ul>
                            <ul>
                                <ul>
                                    <ul>
                                        <ul>
                                            <ul>
                                                <ul>
                                                </ul>
                                            </ul>
                                        </ul>
                                    </ul>
                                </ul>
                            </ul>
                        </ul>
                    </ul>
                </ul>
            </ul>
        </ul>
    </ul>
</ul>
<p>
     7.7.2. Своевременно, в разумный срок, не превышающий 5 рабочих дней, работник обязан лично либо через своего законного представителя сообщать Обществу (работнику, ответственному за сбор персональных данных), об изменении своих персональных данных либо представить соответствующие документы.
</p>
<p>
     7.7.3. Представление работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.
</p>
7.7.4. Работник в целях обеспечения защиты своих персональных данных, хранящихся у Общества, имеет право на:<br>
<ul>
    <ul>
        <ul>
            <ul>
                <ul>
                    <ul>
                        <ul>
                            <ul>
                                <ul>
                                    <ul>
                                        <ul>
                                            <ul>
                                                <ul>
                                                </ul>
                                            </ul>
                                        </ul>
                                    </ul>
                                </ul>
                            </ul>
                        </ul>
                    </ul>
                </ul>
            </ul>
        </ul>
    </ul>
</ul>
<ul>
    <li>полную информацию о своих персональных данных и обработке этих данных;</li>
    <li>свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных законодательством РФ;</li>
    <li>определение своих представителей для защиты своих персональных данных;</li>
    <li>требования об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса.</li>
</ul>
<ul>
    <li>При отказе Общества исключить или исправить персональные данные работника он имеет право заявить в письменной форме Обществу о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;<br>
</li>
    <ul>
        <ul>
            <ul>
                <ul>
                    <ul>
                        <ul>
                            <ul>
                                <ul>
                                    <ul>
                                        <ul>
                                            <ul>
                                                <ul>
                                                </ul>
                                            </ul>
                                        </ul>
                                    </ul>
                                </ul>
                            </ul>
                        </ul>
                    </ul>
                </ul>
            </ul>
        </ul>
    </ul>
</ul>
<ul>
    <li>требование об извещении Обществом всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях и дополнения;</li>
    <li>обжалование в суде любых неправомерных действий или бездействия Общества при обработке и защите его персональных данных.</li>
</ul>
<p>
     7.7.5. Документы претендентов, которые не были приняты на работу, сшиваются по месяцам и по профилям специалистов и хранятся в запирающихся шкафах в течение 6 месяцев. По истечении данного срока документы подлежат уничтожению.
</p>
<p>
<br>
</p>
<p>
     8. Мероприятия по обеспечению безопасности персональных данных
</p>
<p>
     8.1. Общие положения.
</p>
<p>
     8.1.1. Организация работ по обеспечению безопасности персональных данных осуществляется руководством Общества.
</p>
<p>
     Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах Общества, приказом Генерального директора назначаются структурные подразделения, ответственные за обеспечение безопасности персональных данных.
</p>
<p>
     Подразделения, ответственные за обеспечение безопасности персональных данных, в своей деятельности руководствуется нормами действующего законодательства в области защиты персональных данных.
</p>
<p>
     Разработка и осуществление мероприятий по обеспечению безопасности персональных данных может осуществляться также сторонними организациями на договорной основе, имеющими лицензии на право проведения соответствующих работ.
</p>
<p>
     Лица, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании утвержденного Генеральным директором списка.
</p>
<p>
     8.2. Мероприятия по обеспечению безопасности персональных данных при автоматизированной обработке.
</p>
<p>
     8.2.1. Система защиты персональных данных.
</p>
<p>
     Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические), средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.
</p>
<p>
     При обработке персональных данных в информационных системах Общества обеспечивается:
</p>
<p>
     - проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации,
</p>
<p>
     - своевременное обнаружение фактов несанкционированного доступа к персональным данным,
</p>
<p>
     - недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование,
</p>
<p>
     - возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним,
</p>
<p>
     - постоянный контроль над обеспечением уровня защищенности персональных данных.
</p>
<p>
     8.2.2. Перечень мероприятий по обеспечению безопасности персональных данных.
</p>
<p>
     Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
</p>
<p>
     - определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
</p>
<p>
     - разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
</p>
<p>
     - проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
</p>
<p>
     - установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
</p>
<p>
     - обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
</p>
<p>
     - учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
</p>
<p>
     - учет лиц, допущенных к работе с персональными данными в информационной системе;
</p>
<p>
     - контроль над соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
</p>
<p>
     - разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
</p>
<p>
     8.3. Мероприятия по обеспечению безопасности персональных данных при их обработке без использования средств автоматизации.
</p>
<p>
     Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ.
</p>
<p>
     Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
</p>
<p>
     При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
</p>
<p>
     Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе работники Общества или лица, осуществляющие такую обработку по договору с Обществом), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.
</p>
<p>
     Персональные данные на бумажных носителях хранятся в сейфе.
</p>
<p>
     При работе с документами, содержащими персональные данные, документы могут находящиеся находиться на рабочих столах или в специальных папках только в течение рабочего дня. По окончании рабочего дня данные документы должны убираться в запирающиеся шкафы.
</p>
<p>
<br>
</p>
<p>
     9. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника
</p>
<p>
     9.1. Защита прав субъектов персональных данных, установленных настоящим Положением и законодательством Российской Федерации, осуществляется судом, в целях пресечения неправомерного использования персональных данных, восстановления нарушенных прав и возмещения причиненного ущерба, в том числе морального вреда.
</p>
<p>
</p>
9.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.<br>
<p>
</p>