ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В АО «НИИ «МАСШТАБ» 1. ВВЕДЕНИЕ 1.1. Политика обработки персональных данных в АО «НИИ «Масштаб» (далее – Положение) определяет порядок сбора, хранения, передачи и иных видов обработки персональных данных в АО «НИИ «Масштаб» (далее – Общество, Оператор), а также сведения о реализуемых требованиях к защите персональных данных. 1.2. Политика разработана в соответствии с действующим законодательством РФ. 1.3. В Политике используются следующие основные понятия: • оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; • персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных); • предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. 2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 2.1. Принципы обработки персональных данных Обработка персональных данных у Оператора осуществляется на основе следующих принципов: • законности и справедливой основы; • ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей; • недопущения обработки персональных данных, несовместимой с целями сбора персональных данных; • недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой; • обработки только тех персональных данных, которые отвечают целям их обработки; • соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки; • недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки; • обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных; • уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом. 2.2. Условия обработки персональных данных Оператор производит обработку персональных данных при наличии хотя бы одного из следующих условий: • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве; • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем; • обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — общедоступные персональные данные); • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. 2.3. Конфиденциальность персональных данных Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. 2.4. Обработка персональных данных граждан Российской Федерации В соответствии со статьей 2 Федерального закона от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев: • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта); • обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг; • обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных. 3. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ 3.1. Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных). 3.2. Все обрабатываемые АО «НИИ «Масштаб» персональные данные являются конфиденциальной, строго охраняемой информацией в соответствии с законодательством. 4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 4.1. Персональные данные обрабатываются АО «НИИ «Масштаб» в целях оформления трудовых и иных договорных отношений, кадрового, бухгалтерского, налогового учета, по снованиям, предусмотренным ст.22 Федерального закона от 27.06.2006 №152-ФЗ, 86-90 Трудового кодекса РФ, а также в целях организации и проведения АО «НИИ «Масштаб», (в т.ч. с привлечением третьих лиц) маркетинговых акций, исследований, опросов и иных мероприятий; оказания иных услуг субъектам персональных данных; продвижения услуг и/или товаров АО «НИИ «Масштаб» на рынке путем осуществления прямых контактов с клиентами АО «НИИ «Масштаб» с помощью различных средств связи, в т.ч., не ограничиваясь, по телефону, электронной почте, почтовой рассылке, в сети Интернет и т.д.; в иных целях, если действия АО «НИИ «Масштаб» не противоречат действующему законодательству. 4.2. АО «НИИ «Масштаб» в целях надлежащего исполнения своих обязанностей Оператора обрабатывает следующие персональные данные, необходимые для надлежащего исполнения договорных обязательств: • персональные данные работников Оператора, состоящих в трудовых отношениях с Оператором; • персональные данные иных физических лиц, в том числе, но не ограничиваясь, состоящих в договорных, ученических, гражданско-правовых отношениях с Оператором, в том числе, но не ограничиваясь, учеников, покупателей. 5. ПОРЯДОК СБОРА, ХРАНЕНИЯ, ПЕРЕДАЧИ И ИНЫХ ВИДОВ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 5.1. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей). Оператором установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. Оператор обеспечивает сохранность персональных данных и принимает меры, исключающие несанкционированный доступ к персональным данным. 5.2. Обработка персональных данных, осуществляемая с использованием средств автоматизации, проводится при условии выполнения следующих действий: Оператор проводит технические мероприятия, направленные на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации; защитные инструменты настроены на своевременное обнаружение фактов несанкционированного доступа к персональным данным; технические средства автоматизированной обработки персональных данных изолированы в целях недопущения воздействия на них, в результате которого может быть нарушено их функционирование; Оператор производит резервное копирование данных, с тем, чтобы иметь возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; осуществляет постоянный контроль за обеспечением уровня защищенности персональных данных. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных. Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры: • назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных; • ограничение состава лиц, допущенных к обработке персональных данных; • ознакомление субъектов с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите персональных данных; • организация учета, хранения и обращения носителей, содержащих информацию с персональными данными; • определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз; • разработка на основе модели угроз системы защиты персональных данных; • проверка готовности и эффективности использования средств защиты информации; • разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации; • регистрация и учет действий пользователей информационных систем персональных данных; • использование антивирусных средств и средств восстановления системы защиты персональных данных; • применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации; • организация пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки персональных данных. 6. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА 6.1. АО «НИИ «Масштаб» как Оператор персональных данных вправе: • отстаивать свои интересы в суде; • предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.); • отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством; • использовать персональные данные субъекта без его согласия, в случаях, предусмотренных законодательством. 7. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ 7.1. Согласие субъекта персональных данных на обработку его персональных данных Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своих интересах. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. 7.2. Права субъекта персональных данных Субъект персональных данных имеет право на получение у Оператора информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом персональных данных (потенциальным потребителем) с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в вышеуказанных целях. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований ФЗ-152 или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда. 8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ 8.1. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных. 8.2. Настоящая Политика является внутренним документом АО «НИИ «Масштаб», и подлежит размещению на официальном сайте АО «НИИ «Масштаб». 8.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение безопасности персональных данных АО «НИИ «Масштаб».