ПОЛОЖЕНИЕ ООО «ТЕХЛЕГАЛ» В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРСОНАЛЬНЫХ ДАННЫХ «ТЕХЛЕГАЛ» (ИСПДн «ТЕХЛЕГАЛ»)

1. Общие положения

Обеспечение конфиденциальности и безопасности обработки персональных данных в ООО «Техлегал» является одной из приоритетных задач организации.

В ООО «Техлегал» для этих целей введен в действие комплект организационно-распорядительной документации, обязательный к исполнению всеми сотрудниками ООО «Техлегал», допущенными к обработке персональных данных.

Обработка, хранение и обеспечение конфиденциальности и безопасности персональных данных осуществляется в соответствии с действующим законодательством РФ в сфере защиты персональных данных, и в соответствии с локальными актами ООО «Техлегал».

Настоящее Положение определяет принципы, порядок и условия обработки персональных данных сотрудников контрагентов ООО «Техлегал», с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц ООО «Техлегал», имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

Поскольку к настоящему Положению в соответствии с ч. 2 ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных» необходимо обеспечить неограниченный доступ, в ней не публикуется детальная информация о принятых организационно-технических мерах по защите персональных данных в ИСПДн «Техлегал», а также иная информация, использование которой неограниченным кругом лиц может нанести ущерб ООО «Техлегал» или субъектам персональных данных.

Основные понятия, используемые в Положении:

• персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
• оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
• автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
• распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2. Понятие и состав персональных данных

Сведениями, составляющими персональные данные, в ИСПДн «Техлегал» является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Перечень персональных данных, подлежащих защите в ИСПДн «Техлегал» определятся целями их обработки, Федеральным законом № 152-ФЗ «О защите персональных данных» и другими нормативно-правовыми актами.

Для ИСПДн «Техлегал» утвержден перечень персональных данных подлежащих защите.

В ИСПДн «Техлегал» обрабатываются следующие персональные данные сотрудников контрагентов (в рамках исполнения обязательств по договору на право использования программы для ЭВМ):

• фамилию, имя, отчество;
• дату рождения;
• место рождения;
• гражданство;
• пол;
• паспортные данные;
• адрес регистрации;
• номер телефона.

3. Цели сбора персональных данных

ООО «Техлегал» осуществляет обработку персональных данных в целях осуществления процедуры управления доступом в АИС «Техлегал» в рамках оказания услуг по договору на право использования программы для ЭВМ.

4. Правовые основания обработки персональных данных

Персональные данные ООО «Техлегал» обрабатываются на основании:

• устава ООО «Техлегал»;
• договору на право использования программы для ЭВМ, заключаемые между ООО «Техлегал» и контрагентами.

5. Сроки обработки персональных данных

Сроки обработки персональных данных определяются в соответствии со сроком действия договора с контрагентом о предоставлении права об использовании программы для ЭВМ, сроком действия учетной записи пользователя информационной системы, Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроком исковой давности, а также иными требованиями законодательства РФ.

В ООО «Техлегал» создаются и хранятся документы, содержащие сведения о субъектах персональных данных сотрудников контрагентов. Требования к использованию в ООО «Техлегал» данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

6. Права и обязанности

ООО «Техлегал» как субъект, обрабатывающий персональные данные по поручению контрагентов (в рамках договоров о предоставлении права использования программы для ЭВМ) в праве:

• отстаивать свои интересы в суде;
• предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
• отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
• использовать персональные данные субъекта без его согласия, в случаях, предусмотренных законодательством.

ООО «Техлегал» как субъект, обрабатывающий персональные данные по поручению контрагентов (в рамках договоров о предоставлении права использования программы для ЭВМ) обязан:

• обеспечивать режим конфиденциальности, целостности и доступности в отношении сведений, содержащих персональные данные и полученных в рамках договора о предоставлении права использования программы для ЭВМ в части, касающейся сбора, систематизации, накопления, использования, передачи (распространение, предоставление, доступ), блокирования, удаления, уничтожения и хранения персональных данных сотрудников контрагента;
• выполнять требования законодательства Российской Федерации в части защиты прав субъектов персональных данных.

7. Порядок и условия обработки персональных данных

ООО «Техлегал» осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных сотрудников контрагентов.

Под обработкой персональных данных сотрудников контрагентов в ООО «Техлегал» в части неавтоматизированной обработки понимается: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных; в части автоматизированной обработки понимается хранение, блокирование, удаление и уничтожение персональных данных.

Персональные данные не передаются третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации и не участвуют в процессах трансграничной передачи.

Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

Обработка персональных данных сотрудников конрагентов в ООО «Техлегал» производится на основе соблюдения принципов:

• законности целей и способов обработки персональных данных;
• соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
• соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
• достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
• хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
• уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

8. Обеспечение безопасности персональных данных

ООО «Техлегал» предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

В ООО «Техлегал» для обеспечения безопасности персональных данных приняты следующие меры:

• назначено лицо, ответственное за организацию обработки персональных данных;
• назначен администратор безопасности информационной системы персональных данных;
• утверждены документы, определяющие политику ООО «Техлегал» в отношении обработки персональных данных и устанавливающие процедуры направленные на предотвращение и выявление нарушений законодательства;
• устранение последствий нарушений законодательства РФ производится в соответствии с действующим законодательством РФ, в соответствии с положением об обработке и защите персональных данных, а также в соответствии с инструкцией администратору безопасности персональных данных;
• внутренний контроль соответствия обработки персональных данных законодательству РФ в данной сфере производится в соответствии с планом внутренних проверок, инструкцией администратора безопасности и положением об обработке и защите персональных данных;
• для информационной системы персональных данных разработана модель угроз безопасности персональных данных, в которой при определении опасности угроз проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства;
• проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;
• правила доступа к персональным данным утверждены в соответствующем положении, реализуются в т.ч. технически;
• сотрудники, допущенные к обработке персональных данных, проходят инструктажи по информационной безопасности, подписывают соглашение о неразглашении персональных данных, знакомятся с документами по защите персональных данных под роспись.

9. Заключительные положения

К настоящей Политике обеспечивается неограниченный доступ.

Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в год.

Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных ООО «Техлегал».

Ответственность должностных лиц ООО «Техлегал», имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами ООО «Техлегал».