ПОЛИТИКА
обработки и защиты персональных данных
ООО «Тулун-ТелеКом» ИНН 3816011570
Содержание
- ОБЩИЕ ПОЛОЖЕНИЯ
- ПРИНЦИПЫ, ЦЕЛИ, СПОСОБЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- СУБЪЕКТЫ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
- ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
- ОБЯЗАННОСТИ ОПЕРАТОРА
- КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
- МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
- ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
- ИЗМЕНЕНИЕ НАСТОЯЩЕЙ ПОЛИТИКИ И ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
- НОРМАТИВНЫЕ ДОКУМЕНТЫ
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»);
- Федеральный закон РФ от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.;
- Внутренние нормативные документы ООО «Тулун-ТелеКом», регламентирующие обработку и обеспечение информационной безопасности персональных данных.
- Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
- Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
- Защита персональных данных – комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации субъекту персональных данных.
- Информационная система персональных данных (далее ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
- Информация – сведения (сообщения, данные) независимо от формы их представления.
- Контактный центр Компании – территориально-распределенная структура, выполняющая функции обслуживания клиентов, функционирующая как на базе технических средств и привлечения штатных работников Компании, так и на базе аутсорсинговых контактных центров.
- Конфиденциальность персональных данных – обязательное для выполнения оператором или иным лицом, получившим доступ к персональным данным, требование не допускать раскрытия персональных данных третьим лицам, и их распространение без согласия субъекта персональных данных или наличия иного законного основания.
- Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
- Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
- Оператор – ООО «Тулун-ТелеКом» (далее – Компания), самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
- Персональные данные (далее ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
- Предоставление персональных данных – действия, направленные на раскрытие ПДн данных определенному лицу или определенному кругу лиц.
- Распространение персональных данных – действия, направленные на раскрытие ПДн неопределенному кругу лиц.
- Ответственный за организацию обработки персональных данных – должностное лицо Компании, ответственное за организацию обработки ПДн в Компании.
- Субъект персональных данных (далее субъект ПДн) – физическое лицо, определяемое или определенное персональными данными.
- Специальные категории персональных данных – персональные данные субъектов персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и судимости.
- Трансграничная передача персональных данных – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
- Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПДн, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПДн, а также иные неправомерные действия при их обработке в ИСПДн.
- Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДН и (или) в результате которых уничтожаются материальных носители ПДн.
- Уровень защищенности персональных данных − комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПДн при их обработке в ИСПДн.
- предоставления услуг связи, исполнения обязательных требований законодательства РФ в области связи и лицензионных условий, а также выполнение иных требований законодательства РФ в области связи;
- продвижения товаров, работ, услуг Компании и/или третьих лиц на рынке, путем осуществления прямых контактов с потенциальным потребителем по сетям электросвязи, в том числе посредством использования почтовой связи, телефонной, факсимильной, подвижной радиотелефонной связи;
- исполнения обязательств по заключенным Компанией гражданско-правовым договорам возмездного оказания услуг Контактным центром Компании;
- обеспечения выполнения требований трудового законодательства РФ и иных нормативных правовых актов в области регулирования трудовых отношений, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения производственных процессов, а также личной безопасности работников;
- обеспечения надлежащего исполнения обязательств по договорам, заключаемых Компанией;
- организации доступа, учета и регистрации посетителей офисов Компании;
- предоставления услуг, неразрывно связанных с услугами связи;
- выполнения иных требований, предусмотренных законодательством РФ, Уставом и организационно-распорядительными документами Компании.
- обработка ПДн должна осуществляться на законной и справедливой основе;
- обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей;
- не допускается обработка ПДн, несовместимая с целями сбора ПДн.
- не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
- допускается обработка исключительно тех ПДн, которые отвечают целям их обработки;
- содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки;
- не допускается обработка ПДн излишних по отношению к заявленным целям обработки;
- при обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Неполные или неточные данные должны быть удалены или уточнены;
- хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
- по достижении целей обработки или в случае утраты необходимости в достижении этих целей, ПДн должны быть уничтожены или обезличены, если иное не предусмотрено ФЗ «О персональных данных»;
- ПДн могут обрабатываться в Компании только для целей, непосредственно связанных с деятельностью Компании, в частности, для оказания заявленных услуг и осуществления видов деятельности, указанных в Уставе Компании.
- обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
- обработка ПДн необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Компанию функций, полномочий и обязанностей;
- обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- обработка ПДн необходима для предоставления государственной или муниципальной услуги;
- обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
- обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн;
- обработка ПДн необходима для осуществления прав и законных интересов Компании или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
- обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн;
- обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением целей продвижения товаров, работ, услуг на рынке, политической агитации, при условии обязательного обезличивания ПДн;
- осуществляется обработка ПДн, доступ неограниченного круга лиц, к которым предоставлен субъектом ПДн либо по его просьбе;
- осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РФ.
- субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе;
- согласие на обработку ПДн должно быть конкретным, информированным и сознательным;
- согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в письменной форме или в любой другой форме, позволяющей подтвердить факт его получения. Форма «Согласия субъекта на обработку своих персональных данных» представлена в Приложении 4 к Положению по обработке и защите персональных данных в ООО «Тулун-ТелеКом»;
- в случае получения согласия на обработку ПДн от представителя субъекта ПДн, полномочия данного представителя на дачу согласия от имени субъекта ПДн должны быть проверены Компанией.
- абоненты, заключившие договор с Компанией на оказание услуг связи, представители абонентов, пользователи услуг связи, оказываемых Компанией;
- работники, имеющие договорные отношения с Компанией;
- родственники работников, имеющих договорные отношения с Компанией (в объеме личной карточки работника, форма № Т-2);
- соискатели на вакантные должности;
- физические лица, состоящие в договорных и иных гражданско-правовых отношениях с Компанией;
- посетители офисов Компании;
- иных физических лиц вступающих в отношения любых видов и форм с Компанией.
- фамилия, имя, отчество;
- год рождения;
- месяц рождения;
- дата рождения;
- место рождения;
- адрес;
- номера рабочих, домашних и мобильных телефонов или сведения о других способах связи;
- семейное положение;
- социальное положение;
- образование;
- профессия.
- гражданство;
- информация об изменении ФИО;
- паспортные данные (данные иного документа, удостоверяющего личность);
- ИНН;
- место жительства (регистрации);
- дата регистрации по месту жительства;
- данные о семье;
- биографические сведения;
- сведения о трудовой деятельности;
- сведения о владении иностранными языками;
- сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу;
- сведения из страховых полисов медицинского страхования;
- сведения о номере и серии страхового свидетельства государственного пенсионного страхования;
- содержание трудового договора с работником;
- копии отчетов, направляемые в органы статистики;
- сведения о заработной плате;
- сведения о социальных льготах и социальном статусе;
- специальность;
- занимаемая должность;
- сведения о номере, серии и дате выдачи трудовой книжки и записях в ней;
- сведения, указанные в приказах по личному составу и материалах к ним;
- сведения о наградах, почетных и специальных званиях, поощрениях;
- материалы по аттестации и оценке работников;
- материалы по внутренним служебным расследованиям;
- сведения о временной нетрудоспособности;
- табельный номер;
- адрес электронной почты;
- сведения о предоставленных услугах связи;
- сведения о лицевых счетах и способах оплаты услуг связи;
- сведения о соединениях посредством услуг связи.
- подтверждение факта обработки ПДн в Компании;
- правовые основания и цели обработки ПДн;
- применяемые в Компании способы обработки ПДн;
- наименование и место нахождения Компании, сведения о лицах (за исключением работников), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Компанией или на основании федерального закона;
- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки ПДн, в том числе сроки их хранения;
- порядок осуществления субъектом ПДн прав, предусмотренных ФЗ «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Компании, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами.
- принимать необходимые меры для выполнения обязанностей оператора, предусмотренных законодательством Российской Федерации в сфере обработки и защиты ПДн;
- разъяснять субъекту ПДн юридические последствия отказа предоставить ПДн, если это является обязательным в соответствии с законодательством Российской Федерации;
- осуществлять блокирование неправомерно обрабатываемых ПДн;
- осуществлять прекращение обработки ПДн в соответствии с законодательством Российской Федерации;
- уведомлять субъекта ПДн об устранении допущенных нарушений или уничтожения его ПДн;
- предоставлять по просьбе субъекта ПДн или его представителя информацию, касающуюся обработки его ПДн, в порядке, установленном законодательством Российской Федерации и внутренними нормативными документами Компании.
- проведение мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
- своевременное обнаружение фактов несанкционированного доступа к ПДн;
- недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
- возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- постоянный контроль за обеспечением уровня защищенности ПДн.
- определением угроз безопасности ПДн при их обработке в ИСПДн;
- применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
- учетом машинных носителей ПДн;
- учетом лиц, допущенных к работе с ПДн в информационной системе;
- контролем за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
- обнаружением фактов несанкционированного доступа к ПДн и принятием мер, направленных на защиту ПДн от несанкционированного доступа;
- восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
- контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.