Смолтелеком

Соглашение на обработку персональных данных

1. Общие положения

Обеспечение конфиденциальности и безопасности обработки персональных данных в Обществе с ограниченной ответственностью «Смолтелеком» (далее — «Смолтелеком») является одной из приоритетных задач организации.

В «Смолтелеком» для этих целей введен в действие комплект организационно-распорядительной документации, обязательный к исполнению всеми сотрудниками «Смолтелеком», допущенными к обработке персональных данных.

Настоящая Политика определяет принципы, порядок и условия обработки персональных данных работников, соискателей и контрагентов «Смолтелеком»и иных лиц, чьи персональные данные обрабатываются «Смолтелеком», с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц «Смолтелеком», имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

Обработка, хранение и обеспечение конфиденциальности и безопасности персональных данных осуществляется в соответствии с действующим законодательством РФ в сфере защиты персональных данных, и в соответствии с локальными актами «Смолтелеком». Настоящая Политика определяет принципы, порядок и условия обработки персональных данных работников, соискателей и контрагентов «Смолтелеком» и иных лиц, чьи персональные данные обрабатываются «Смолтелеком», с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц «Смолтелеком», имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных. Поскольку к настоящей Политике в соответствии с ч. 2 ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных» необходимо обеспечить неограниченный доступ, в ней не публикуется детальная информация о принятых мерах по защите персональных данных в «Смолтелеком», а также иная информация, использование которой неограниченным кругом лиц может нанести ущерб «Смолтелеком» или субъектам персональных данных.

Основные понятия, используемые в политике:

персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования.

Обработка персональных данных включает в себя, в том числе:

сбор;
запись;
систематизацию;
накопление;
хранение;
уточнение (обновление, изменение);
извлечение;
использование;
передачу (распространение, предоставление, доступ);
обезличивание;
блокирование;
удаление;
уничтожение.
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2. Цели сбора персональных данных

«Смолтелеком» осуществляет обработку персональных данных в следующих целях:

2.1 Персональные данные лиц, состоящих (состоявших) с «Смолтелеком» в трудовых отношениях, и граждан, претендующих на замещение вакантных должностей в «Смолтелеком», обрабатываются в целях обеспечения кадровой работы, в том числе в целях содействия сотрудникам «Смолтелеком» в выполнении работы, обучении и должностном росте, формирования кадрового резерва, учета результатов исполнения сотрудниками «Смолтелеком» должностных обязанностей, обеспечения сотруднику «Смолтелеком» установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего ему имущества и имущества «Смолтелеком».

2.2. Персональные данные граждан и сотрудников организаций, обратившихся в «Смолтелеком» за получением услуг связи, обрабатываются в целях исполнения ст. 35 ФЗ «О связи» №126-ФЗ от 07.07.2003 г., оказания услуг связи и расчета за оказанные услуги.

2.3. Персональные данные различных субъектов персональных данных могут обрабатываться в иных целях, указанных в письменном согласии субъекта персональных данных на обработку его персональных данных.

3. Правовые основания обработки персональных данных

Персональные данные Смолтелеком обрабатываются на основании:

трудового кодекса Российской Федерации;
устав «Смолтелеком»;
договоры, заключаемые между «Смолтелеком» и субъектом персональных данных;
согласие на обработку персональных данных.

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

В соответствии с целью, указанной в п.2.1., в «Смолтелеком» обрабатываются следующие персональные данные:

фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии), дата и место их изменения (в случае изменения);
пол;
дата (число, месяц, год) и место рождения;
фотографическое изображение;
сведения о гражданстве;
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
страховой номер индивидуального лицевого счета (СНИЛС);
идентификационный номер налогоплательщика (ИНН);
адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;
реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения;
сведения о семейном положении, составе семьи (степень родства, фамилии, имена, отчества (при наличии), даты (число, месяц, год) и места рождения);
сведения об образовании и (или) квалификации или наличии специальных знаний (в том числе наименование образовательной и (или) иной организации, год окончания, уровень образования, квалификация, реквизиты документа об образовании, обучении);
информация о владении иностранными языками;
сведения об отношении к воинской обязанности, о воинском учете и реквизиты документов воинского учета (серия, номер, дата выдачи документа, наименование органа, выдавшего его);
сведения о трудовой деятельности, а также информация о предыдущих местах работы, периодах и стаже работы;
сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории РФ (для иностранных граждан, пребывающих в РФ);
сведения, содержащиеся в разрешении на временное проживание, разрешении на временное проживание в целях получения образования (для иностранных граждан, временно проживающих в РФ), виде на жительство (для иностранных граждан, постоянно проживающих в РФ);
сведения о доходах, обязательствах по исполнительным документам;
номера расчетного счета, банковской карты;
сведения о состоянии здоровья (для отдельных категорий работников);
сведения о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям (для отдельных категорий работников);
иные персональные данные, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует цели обработки, предусмотренной п.2.1 Политики;
иные персональные данные, которые работник пожелал сообщить о себе и обработка которых соответствует цели обработки, предусмотренной п.2.1 Политики.

Состав персональных данных, обрабатываемых в случаях, предусмотренных п. 2.2 настоящей Политики:

фамилия, имя, отчество, число, месяц, год рождения и место рождения;
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес регистрации, адрес фактического места жительства (места установки оконечного оборудования абонента);
идентификационный номер налогоплательщика (ИНН);
номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;
сведения баз данных систем расчетов за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонентов.

В случаях, предусмотренных п. 2.3 настоящей Политики, персональные данные, указанные в письменном согласии субъекта персональных данных на обработку персональных данных, обрабатываются в целях и объемах, указанных в письменном согласии.

5. Сроки обработки персональных данных

Сроки хранения персональных данных на бумажных носителях определяются нормативно-правовыми актами, регламентирующими порядок их сбора и обработки. Срок хранения персональных данных на электронных носителях должен соответствовать сроку хранения бумажных оригиналов.

6. Права и обязанности

Смолтелеком как оператор персональных данных в праве:

отстаивать свои интересы в суде;
предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
отказывать в предоставлении персональных данных в случаях предусмотренных законодательством;
использовать персональные данные субъекта без его согласия, в случаях предусмотренных законодательством.

Смолтелеком как оператор персональных данных обязан:

обеспечить каждому субъекту персональных данных возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом;
внести необходимые изменения, уничтожить или блокировать персональные данные в случае предоставления субъектом неполных, устаревших, недостоверных или незаконно полученных персональных данных, а также уведомить о своих действиях субъекта персональных данных;
выполнять требования законодательства Российской Федерации.

Субъект персональных данных имеет право:

требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
требовать перечень своих персональных данных, обрабатываемых «Смолтелеком» и источник их получения;
получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.

Субъект персональных данных обязан:

передавать достоверные, необходимые для достижения целей обработки, персональные данные, а также подтверждать достоверность персональных данных предъявлением оригиналов документов;
в случае изменения персональных данных, необходимых для достижения целей обработки, сообщить «Смолтелеком» уточненные персональные данные и подтвердить изменения оригиналами документов;
выполнять требования законодательства Российской Федерации.

7. Порядок и условия обработки персональных данных

«Смолтелеком» осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных. Под обработкой персональных данных в «Смолтелеком» понимается сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Передача персональных данных, в том числе в целях обеспечения общественного интереса, на договорной основе допускается в рамках соглашения (договора) об информационном обмене между контрагентом и «Смолтелеком» при соблюдении следующих условий:

в соглашении (договоре) указаны обязательства сторон по соблюдению конфиденциальности и обеспечению заданного уровня безопасности персональных данных;
соглашением (договором) определены цели, порядок и условия передачи персональных данных в соответствии с федеральными законами и настоящим положением;
имеется согласие субъекта персональных данных на передачу персональных данных «Смолтелеком» вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

Обработка персональных данных в «Смолтелеком» производится на основе соблюдения принципов:

законности целей и способов обработки персональных данных;
соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

Отказ контрагента или работника «Смолтелеком» от предоставления согласия на обработку его персональных данных влечет за собой невозможность достижения целей обработки.

8. Обеспечение безопасности персональных данных

«Смолтелеком» предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

В Смолтелеком для обеспечения безопасности персональных данных приняты следующие меры:

назначено лицо, ответственное за организацию обработки персональных данных;
назначен администратор безопасности информационной системы персональных данных;
утверждены документы, определяющие политику «Смолтелеком» в отношении обработки персональных данных и устанавливающие процедуры направленные на предотвращение и выявление нарушений законодательства. К таким документам в частности относятся: план мероприятий по обеспечению безопасности персональных данных в ИСПДн; перечень персональных данных, подлежащих защите; положение о разграничении прав доступа к персональным данным; приказ об утверждении перечня лиц, допущенных к обработке персональных данных; положение о защите и обработке персональных данных; политика в отношении обработки персональных данных; правила обработки персональных данных без использования средств автоматизации; приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении, инструкция администратора безопасности ИСПДн, инструкция пользователя ИСПДн, инструкция ответственного за организацию обработки персональных данных, приказ о назначении группы реагирования на инциденты информационной безопасности;
устранение последствий нарушений законодательства РФ производится в соответствии с действующим законодательством РФ, в соответствии с положением об обработке и защите персональных данных, а также в соответствии с инструкцией администратору безопасности персональных данных;
внутренний контроль соответствия обработки персональных данных законодательству РФ в данной сфере производится в соответствии с планом внутренних проверок, инструкцией администратора безопасности и положением об обработке и защите персональных данных;
для информационной системы персональных данных разработана модель угроз безопасности персональных данных, в которой при определении опасности угроз проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства;
проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;
правила доступа к персональным данным утверждены в соответствующем положении, технически реализуются с помощью средств защиты информации;
сотрудники, допущенные к обработке персональных данных, проходят инструктажи по информационной безопасности, подписывают соглашение о неразглашении персональных данных, знакомятся с документами по защите персональных данных под роспись.

9. Заключительные положения

К настоящей Политике обеспечивается неограниченный доступ. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных «Смолтелеком».

Ответственность должностных лиц «Смолтелеком», имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами «Смолтелеком».