ВЕДУЩИЙ РОССИЙСКИЙ СИСТЕМНЫЙ ИНТЕГРАТОР

Политика организации обработки
и обеспечения безопасности
персональных данных в ЗАО «Ай-Теко»​

Соблюдение принципов законности, конфиденциальности и безопасности при обработке персональных данных — важнейшие задачи компании

1. Общие положения

    • 1.1. В целях выполнения норм действующего законодательства Российской Федерации в полном объеме ЗАО «Ай-Теко» (далее – Оператор) считает своими важнейшими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
    • 1.2. Настоящая политика организации обработки и обеспечения безопасности персональных данных в ЗАО «Ай-Теко» (далее – Политика) характеризуется следующими признаками:
      • 1.2.1. разработана в целях реализации требований действующего законодательства Российской Федерации в области обработки и защиты персональных данных;
      • 1.2.2. раскрывает способы и принципы обработки Оператором персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке;
      • 1.2.3. является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке и защите персональных данных.
    • 1.3. Оператор до начала обработки персональных данных осуществил уведомление уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Оператор добросовестно и в соответствующий срок осуществляет актуализацию сведений, указанных в уведомлении.

2. Правовые основания обработки персональных данных

    • 2.1. Политика разработана в соответствии с действующим законодательством Российской Федерации в области обработки и защиты персональных данных.
    • 2.2. Во исполнение Политики руководителем Оператора утверждено П 423.094.01 «Положение об организации обработки и об обеспечении безопасности персональных данных», а также приняты иные локальные акты Оператора в сфере обработки и защиты персональных данных.

3. Принципы, цели, содержание и способы обработки персональных данных

    • 3.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
    • 3.2. Оператор осуществляет сбор и дальнейшую обработку персональных данных в следующих целях:
      • 3.2.1. участие в тендерах (аукционах и конкурсах, а также в иных процедурах, предусмотренных действующим законодательством) и подготовка необходимых для участия в тендерах документов;
      • 3.2.2. осуществление договорной деятельности в рамках возникновения, изменения и прекращения правоотношений между ЗАО «Ай-Теко» и его партнерами, клиентами и прочими контрагентами;
      • 3.2.3. организация мероприятий для контактных лиц компаний – контрагентов ЗАО «Ай-Теко»;
      • 3.2.4. оказания помощи в оформлении виз, а также бронирование и приобретение гостиничных мест и транспортных билетов в интересах контактных лиц компаний – контрагентов ЗАО «Ай-Теко» при организации мероприятий;
      • 3.2.5. замещение вакантных должностей в ЗАО «Ай-Теко» соискателями, наиболее полно соответствующими требованиям ЗАО «Ай-Теко»;
      • 3.2.6. выполнение ЗАО «Ай-Теко» требований трудового законодательства, законодательства по учету труда и его оплаты;
      • 3.2.7. реализация ЗАО «Ай-Теко» как работодателем обязанностей, предусмотренных Трудовым кодексом РФ, в том числе по выплате сотрудникам ЗАО «Ай-Теко» причитающейся заработной платы, компенсаций и премий, по осуществлению пенсионных и налоговых отчислений и выдаче необходимых справок по установленной форме, а также расчет с подотчетными лицами;
      • 3.2.8. предоставление ЗАО «Ай-Теко» социальных услуг своим сотрудникам;
      • 3.2.9. оформление в установленном порядке допуска своих сотрудников к сведениям, составляющим государственную тайну РФ;
      • 3.2.10. организация обучения, повышения квалификации и проверки знаний для сотрудников ЗАО «Ай-Теко»;
      • 3.2.11. оформление командировочных документов для сотрудников ЗАО «Ай-Теко», а также бронирование и приобретение гостиничных мест и транспортных билетов в интересах сотрудников ЗАО «Ай-Теко», направляемых в командировки;
      • 3.2.12. оформление заявок на оказание услуг перевозки пассажиров-сотрудников ЗАО «Ай-Теко» на легковых автомобилях;
      • 3.2.13. регистрация корреспонденции;
      • 3.2.14. обеспечение личной безопасности сотрудников ЗАО «Ай-Теко», иных лиц, посещающих объекты недвижимости (помещения, здания, территорию) ЗАО «Ай-Теко», а также обеспечение сохранности материальных и иных ценностей, находящихся в ведении ЗАО «Ай-Теко»;
      • 3.2.15. решение проблем, возникающих у сотрудников (пользователей) в процессе работы с компьютерами и оргтехникой;
      • 3.2.16. передача заявлений на оформление услуг корпоративной мобильной связи сотрудниками ЗАО «Ай-Теко»;
      • 3.2.17. оформление визитных карточек для сотрудников ЗАО «Ай-Теко».
    • 3.3. Оператор установил следующие условия прекращения обработки персональных данных:
      • 3.3.1. достижение целей обработки персональных данных и максимальных сроков хранения;
      • 3.3.2. утрата необходимости в достижении целей обработки персональных данных;
      • 3.3.3. предоставление субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
      • 3.3.4. невозможность обеспечения правомерности обработки персональных данных;
      • 3.3.5. отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных;
      • 3.3.6. истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных.
    • 3.4. Обработка персональных данных Оператором включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
    • 3.5. Оператор осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
    • 3.6. Оператор осуществляет обработку специальных категорий персональных данных о состоянии здоровья, относящихся к возможности выполнения сотрудниками трудовой функции.
    • 3.7. Оператор производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.
    • 3.8. Оператором создаются общедоступные источники персональных данных (справочники, адресные книги). Персональные данные, сообщаемые субъектом, включаются в такие источники только с письменного согласия субъекта персональных данных или на основании требований действующего законодательства Российской Федерации.
    • 3.9. Оператором не принимаются решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
    • 3.10. Оператор осуществляет обработку персональных данных с использованием средств автоматизации и без использования средств автоматизации.

4. Меры по надлежащей организации обработки и обеспечению безопасности персональных данных

    • 4.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
      • 4.1.1. назначением ответственного лица за организацию обработки персональных данных;
      • 4.1.2. осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, требованиями к защите персональных данных, локальными актами Оператора;
      • 4.1.3. ознакомлением сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных и (или) обучением указанных сотрудников;
      • 4.1.4. определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
      • 4.1.5. применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
      • 4.1.6. оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
      • 4.1.7. учетом машинных носителей персональных данных;
      • 4.1.8. выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
      • 4.1.9. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
      • 4.1.10. установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
      • 4.1.11. контролем над принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
    • 4.2. Обязанности сотрудников Оператора, осуществляющих обработку и защиту персональных данных, а также их ответственность, определяются в П 423.094.01 «Положение об организации обработки и об обеспечении безопасности персональных данных» Оператора.

5. Лицо, ответственное за организацию обработки персональных данных

    • 5.1. Права, обязанности и юридическая ответственность лица, ответственного за организацию обработки персональных данных, установлены Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» и «Положением об организации обработки и об обеспечении безопасности персональных данных».
    • 5.2. Назначение лица, ответственного за организацию обработки персональных данных, и освобождение от указанных обязанностей осуществляется приказом генерального директора Оператора. При назначении лица, ответственного за организацию обработки персональных данных, учитываются полномочия, компетенции и личностные качества должностного лица, призванные позволить ему надлежащим образом и в полном объеме реализовывать свои права и выполнять обязанности, предусмотренные «Положением об организации обработки и об обеспечении безопасности персональных данных».
    • 5.3. Лицо, ответственное за организацию обработки персональных данных:
      • 5.3.1. организует осуществление внутреннего контроля над соблюдением Оператором и его сотрудниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
      • 5.3.2. доводит до сведения сотрудников Оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных или обеспечивает доведение;
      • 5.3.3. осуществляет контроль над приемом и обработкой обращений и запросов субъектов персональных данных или их представителей.

6. Права субъектов персональных данных

    • 6.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.
    • 6.2. Субъект персональных данных вправе требовать от Оператора уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
    • 6.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
    • 6.4. Для реализации и защиты своих прав и законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
    • 6.5. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
    • 6.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

7. Ответственность

    • 7.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут ответственность, предусмотренную законодательством Российской Федерации, локальными актами Оператора и договорами, регламентирующими правоотношения Оператора с третьими лицами.