АО "Радиозавод"
Челябинская область,
г. Кыштым,
ул. Ленина, 50
Тел:+7 (351-51) 4-32-42
Факс:+7 (351-51) 4-32-32
Т/Ф:+7 (351-51) 4-32-38
E-mail: rz@aorz.ru

Политика обработки и защиты персональных данных акционерного общества «Радиозавод»

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая политика в отношении обработки персональных данных (далее - Политика) составлена в соответствии с п. 2 ст. 18.1 Федерального закона Российской Федерации «О персональных данных» № 152- ФЗ от 27 июля 2006 года , а также иных нормативно-правовых актов Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – Данных), которые АО Радиозавод» (далее по тексту - Оператор) может получить от субъекта персональных данных по гражданско-правовому договору, а так же от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее - Работника).

1.2. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27.07.2006 № 152- ФЗ « О персональных данных», Постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства РФ от 01.11.2012 № 1119    «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», нормативных документов уполномоченных органов.

1.3. Оператор, выполняя требования Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных», публикует в свободном доступе настоящую Политику в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных.

1.4. Основные понятия.

1.4.1. Персональные данные (ПД) – любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

         1.4.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

         1.4.3. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

         1.4.4. Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

1.4.5. Персональные данные, сделанные общедоступным субъектом персональных данных - ПД, доступ не ограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

1.4.6. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

1.4.7. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

1.4.8. Оператор – организация, обрабатывающая персональные данные;

1.4.9. Клиент - физическое лицо, потребитель гостиничных услуг или услуг базы отдыха, субъект персональных данных;

1.4.10 Сотрудник – гражданин, с которым заключен трудовой договор.

2. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

         Оператор обрабатывает ПД клиентов и сотрудников предприятия, соблюдая требования закона и исключительно в целях оказания гостиничных услуг, услуг базы отдыха, трудоустройства, оформления трудовых отношений, получения работниками образования и продвижения по работе, контроля количества и качества выполняемой работы, обеспечения безопасности сотрудников и сохранности имущества.

         Любые сведения личного характера – о судимости, состоянии здоровья, составе семьи, наличии несовершеннолетних детей и иждивенцев и т.д. – Оператором обрабатываются только для целей трудовых отношений и предоставления гражданам гарантий и компенсаций, предусмотренных законодательством РФ и локальными нормативными актами Оператора.

        

3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

         3.1. Оператор обрабатывает ПД сотрудников в соответствии с :

         3.1.1. Трудовым кодексом Российской Федерации, другими федеральными законами и подзаконными нормативными актами, содержащими нормы трудового права.

         3.1.2. Уставом Оператора.

         3.1.3. Трудовыми договорами, договорами о материальной ответственности, ученическими договорами, которые Оператор заключает с работниками.

         3.1.4. Согласием на обработку персональных данных.

3.2. Оператор обрабатывает ПД клиентов в соответствии с «Правилами предоставления гостиничных услуг в Российской Федерации», утвержденными Постановление Правительства РФ от 09.10.2015г. № 1085.

         4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

         4.1 Оператор обрабатывает ПД следующих субъектов персональных данных:

         4.1.1. Сотрудников, бывших сотрудников, а также родственников сотрудников.

         4.1.2. Граждан, выполняющих работу по гражданским договорам.

         4.1.3. Клиентов, обратившихся в гостиницу или базу отдыха для временного размещения.

         4.2 Оператор обрабатывает любые ПД сотрудников, бывших сотрудников, а также родственников сотрудников в целях трудовых отношений. Исключение: персональные данные специальных категорий:

         - о состоянии здоровья, когда это не связано с выполнением работы;

         - расовой и национальной принадлежности;

         - политических взглядах;

         - религиозных или философских убеждениях;            

         - частной жизни.

         4.3 Из биометрических ПД Оператор обрабатывает только фотографии работника, полученные при трудоустройстве для оформления анкеты и пропуска на предприятие.

         4.4. Оператор обрабатывает персональные данные клиентов:

         - анкетные данные (фамилия, имя, отчество, число, месяц, год рождения)

         - адрес регистрации;

         - паспортные данные.

         4.5. Основные права субъекта ПД

Субъект имеет право на доступ к его персональным данным и следующим сведениям:

- правовые основания и цели обработки ПД;

- применяемые оператором способы обработки ПД;

- наименование и место нахождение Оператора, сведения о лицах ( за исключением работников оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Оператором или на основании федерального закона;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом ПД прав, предусмотренных Федеральным законом от 27.07.2006 г. № 152 ФЗ « О персональных данных»;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Оператора, если обработка поручена или будет поручена такому лицу;

- обращение к Оператору и направлению ему запросов;

- обжалование действий или бездействия Оператора.

4.6. Обязанности Оператора:

- при сборе ПД предоставить информацию об обработке ПД;

- в случаях, если ПД были получены не от субъекта ПД, уведомить субъекта;

- при отказе в предоставлении ПД субъекту разъясняются последствия такого отказа;

- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;

- принимать необходимые правовые, организационные и технические меры, или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;

- давать ответы на запросы и обращения Субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД.

5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1 Получение ПД.

         5.1.1. Все ПД следует получать от самого субъекта. Если ПД субъекта можно получить только у третьей стороны, то Субъект должен быть уведомлен об этом или от него должно быть получено согласие.

         5.1.2. Оператор должен сообщить Субъекту о целях, предполагаемых источниках и способах получения ПД, характере подлежащих получению ПД, перечню действий с ПД, сроке, в течение которого действует согласие и порядке его отзыва, а так же о последствиях отказа Субъекта дать письменное согласие на их получение.

5.1.3 Документы, содержащие ПД создаются путем:

- копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);

- внесения сведений в учетные формы;

- получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).

5.2. Обработка ПД

         5.2.1. Обработка персональных данных осуществляется смешанным способом в выделенной сети. Информация доступна лишь для строго определенных сотрудников предприятия, осуществляющего обработку персональных данных.

         5.2.2. Цели обработки персональных данных:

- осуществление трудовых отношений;

- осуществление гражданско-правовых отношений.

- обеспечение соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по работе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы.

5.2.3. Обработка персональных данных ведется:

- с использованием средств автоматизации

- без использования средств автоматизации

5.3. Хранение ПД

5.3.1. Полученные ПД проходят дальнейшую обработку, и передаются на хранение, как на бумажных носителях, так и в электронном виде на сервере с разграничением прав доступа.

5.3.2. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах.

5.4. Уничтожение ПД

5.4.1. Уничтожение документов (носителей), содержащих ПД производится путем сожжения, дробления (измельчения). Для уничтожения бумажных документов допускается применение шредера.

5.4.2. ПД на электронных носителях уничтожаются путем стирания или форматирования носителя, с последующим механическим повреждением носителя.

5.4.3. Уничтожение производится комиссией. Факт уничтожения ПД подтверждается документально актом об уничтожении носителей, подписанным членами комиссии.

5.5. Передача ПД

5.5.1. Оператор передает ПД третьим лицам в следующих случаях:

- субъект выразил свое согласие на такие действия;

- передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.

5.5.2. Перечень лиц, которым передаются ПД.

Третьи лица, которым передаются ПД:

- пенсионный фонд РФ для учета (на законных основаниях);

- налоговые органы РФ ( на законных основаниях);

- фонд социального страхования ( на законных основаниях)

- банки для начисления заработной платы (на основании договора);

- уполномоченные органы в случаях, установленных законодательством.

6. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

 

6.1. В соответствии с требования нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.

6.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.

6.3. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.

6.4. Основными мерами защиты ПД, используемые Оператором, являются:

6.4.1. Назначение лица ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПД;

6.4.2. Определение актуальных угроз безопасности ПД при их обработке в ИСПД, и разработка мер и мероприятий по защите ПД;

6.4.3. Разработка политики в отношении обработки персональных данных;

6.4.4 Установление правил доступа к ПД, обрабатываемым в ИСПД;

6.4.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их обязанностями.

6.4.6. Персональные данные хранятся в информационной системе, в которой предусмотрены средства защиты информации.

6.4.7. В качестве средств защиты в информационной системе выступает имеющееся программное обеспечение общего назначения со встроенными механизмами защиты

Используются:

Подсистема управления доступом

Механизмы идентификации, аутентификации и защиты данных:

- ОС Windows Vista/XP/7/8/10;

- ОС Windows Server 2008R2/2012/2012R2/2016;

- ПКMicrosoftOfficeProfessional 2003/2007/2010/2013.

Подсистема регистрации и учета

Механизмы аудита безопасности:

- ОС Windows Vista/ XP/7/8/10;

- ОС Windows Server 2008R2/2012/2012R2/2016.

- организационно-распорядительные мероприятия.

Подсистема обеспечения целостности

Механизмы тестирования (самотестирования) функций безопасности:
-ОС WindowsVista/ XP/7/8/10;

- ОС WindowsServer 2008R2/2012/2012R2/2016.

Отсутствие на ПЭВМ средств разработки исполняемых модулей программного обеспечения.

Подсистема антивирусной защиты

Механизмы защиты сертифицированного антивируса KasperskyEndpointSecurity 10

6.4.8.Обучение работников Оператора непосредственно осуществляющих обработку персональных данных, положениям законодательства Российской Федерации о персональных данных, в том числе требованиям к защите персональных данных, документами определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;

6.4.9. Осуществление внутреннего контроля и аудита.

7. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ.

7.1 Оператор при обращении или по запросу субъекта ПД либо его представителя, а также по запросу Роскомнадзора блокирует неправомерно обрабатываемые персональные данные этого субъекта с момента обращения или получения запроса на период проверки.

7.2 Оператор на основании сведений, представленных субъектом ПД или его представителем либо Роскомнадзором, или иных необходимых документов уточняет ПД в течении семи рабочих дней со дня представления таких сведений.

7.3 В случае выявления неправомерной обработки персональных данных Оператор в срок, не превышающий трех рабочих дней, прекращает неправомерную обработку ПД.

7.4 В случае отзыва субъектом ПД согласия на обработку его персональных данных Оператор прекращает их обработку в срок, не превышающий тридцати дней с даты поступления отзыва.

7.5 Оператор сообщает субъекту ПД или его представителю информацию о наличии персональных данных, относящихся к субъекту. По запросу субъекта ПД или его представителя Оператор знакомит его с этими ПД в течение тридцати дней с даты получения запроса.

7.6 Оператор хранит ПД в рамках конфиденциального делопроизводства в порядке, исключающем утрату и неправомерное использование.

8. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ, СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ.

   8.1 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника и клиента, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

 

Разработал:

Начальник ОК                                                                         Н.А. Докучаева

 

Согласовано:

 

Зам. директора по режиму

начальник УБ                                                                         С.А. Демушин

Начальник ОИАС                                                                    И.Г. Чуфаров

Начальник Юр. отд.                                                               Е.П. Устинова

Начальник РСО                                                                      Н.П. Иванов