Утверждено приказом директора

от "26" сентября 2016 года №23

Политика в отношении
обработки персональных данных
в ООО «Патриот»


Екатеринбург 2016
1.1 Назначение и область действия Политики.
1.1.1 Настоящая «Политика в отношении обработки персональных данных в ООО «Патриот» (далее по тексту – «Политика»), регламентирует меры, осуществляемые на постоянной основе и направленные на обеспечение защиты прав и свобод человека и гражданина при обработке Агентством его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.1.2 Политика размещается по месту нахождения Агентства в целях информирования Субъектов ПДн о возможностях, целях обработки, получения информации об оказываемых услугах, соблюдения законодательства об обработке ПДн, так же публикуется на официальном сайте Агентства.
1.1.3 Политика действует бессрочно после утверждения и до ее замены новой версией.
1.1.4 Политика распространяется на всех сотрудников Оператора (включая работников по трудовым договорам и сотрудников, работающих по договорам подряда) и все структурные подразделения Общества, включая обособленные подразделения.
1.2 Правовые основания для обработки персональных данных.
1.2.1 Конституция РФ.
1.2.2 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» в действующей редакции.
1.2.3 Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации» в действующей редакции.
1.2.4 Трудовой кодекс РФ в действующей редакции.
1.2.5 Налоговый кодекс РФ в действующей редакции.
1.2.6 Гражданский кодекс в действующей редакции.
1.2.7 Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
1.2.8 Постановление Правительства РФ от 15.09.2008 г. № 687 «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
1.2.9 Постановление Правительства РФ от 01.11.2012 № 1119 «Требования к защите персональных данных при их обработке в ИСПДн».
1.2.10 Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
1.2.11 Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных» (вместе с «Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ») (Зарегистрировано в Минюсте России 10.09.2013 N 29935).
1.2.12 Стандарт Банка России СТО БР ИББС-1.0-2014 от 01.06.2014 «Обеспечение информационной безопасности организации Банковской системы Российской Федерации».
1.2.13 Стандарт банка России СТО БР ИББС-1.2-2014 от 01.06.2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014».

2. Термины
В настоящей Политике используются следующие термины:
Автоматизированная обработка ПДн – обработка персональных данных с помощью средств вычислительной техники.
Агентство – ООО «Патриот», включая обособленные и внутренние структурные подразделения. Агентство осуществляет обработку персональных данных, а также определяет цели и содержание обработки персональных данных.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных – обязательное для соблюдения Агентством или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Материальный носитель ПДн — носитель (бумага, винчестер, CD/DVD диск, flash и т.д.), на котором не зависимо от формы представления содержатся ПДн.
Неавтоматизированная обработка ПДн – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Общедоступные персональные данные – доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных), либо персональные данные полученные из общедоступного источника.
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Роскомнадзор (РКН) – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций по Уральскому федеральному округу.
Субъект ПДн (Клиент) – любое физическое лицо, в том число клиент - физическое лицо.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн.
Удаление персональных данных – действия по изъятию ПДн из ИСПДн, с сохранением возможности восстановление содержания ПДн в ИСПДн.
3. Перечень обрабатываемых ПДн.
3.1.1 Фамилия, имя, отчество, дата и место рождения.
3.1.2 Паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ) и гражданство.
3.1.3 Адрес места жительства (регистрации и фактический) и дата регистрации по месту жительства или по месту пребывания;
3.1.4 Номера телефонов (мобильного и домашнего), в случае их регистрации на субъекте персональных данных или адресу его места жительства (регистрации).
3.1.5 Сведения о месте работы и размере заработной платы.
3.1.6 Сведения о семейном положении (состояние в браке, данные свидетельства о заключении брака, фамилия, имя, отчество супруга(и), паспортные данные супруга(и), данные справки по форме 2НДФЛ супруги(а), степень родства, фамилии, имена, отчества и даты рождения других членов семьи, иждивенцев и другие сведения).
3.1.7 Сведения об имуществе (имущественном положении):
- автотранспорт (государственные номера и другие данные из свидетельств о регистрации транспортных средств и из паспортов транспортных средств);
- недвижимое имущество (вид, тип, способ получения, общие характеристики, стоимость, полные адреса размещения объектов недвижимости и другие сведения);
- Банковские вклады (данные договоров с клиентами, в том числе номера их счетов, вид, срок размещения, сумма, условия вклада и другие сведения);
- кредиты (займы), банковские счета, денежные средства и ценные бумаги (данные договоров с клиентами, в том числе номера счетов, номера банковских карт, адреса приобретаемых объектов недвижимости, сумма и валюта кредита или займа, цель кредитования, условия кредитования, сведения о залоге, сведения о приобретаемом объекте, данные по ценным бумагам, остатки и суммы движения по счетам, тип банковских карт, лимиты и другие сведения).
3.1.8 Сведения о номере и серии страхового свидетельства государственного пенсионного страхования.
3.1.9 Сведения об идентификационном номере налогоплательщика.
3.1.10 Сведения из страховых полисов обязательного (добровольного) медицинского страхования (в том числе данные соответствующих карточек медицинского страхования).
3.1.11 Сведения, указанные в оригиналах и копиях приказов по личному составу Агентства и материалах к ним.
3.1.12 Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные).
3.1.13 Сведения о социальных льготах и о социальном статусе (серия, номер, дата выдачи, наименование органа, выдавшего документ, являющийся основанием для предоставления льгот и статуса, и другие сведения).
3.1.14 Другие сведения.

4. Цели обработки ПДн.
4.1.1 Осуществление возложенных на Агентство законодательством Российской Федерации функций в соответствии с федеральными законами, в том числе: Налоговым кодексом Российской Федерации, «О банках и банковской деятельности», «О кредитных историях», «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «О валютном регулировании и валютном контроле», «О рынке ценных бумаг», «О несостоятельности (банкротстве) кредитных организаций», «О страховании вкладов физических лиц в банках Российской Федерации», «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», нормативными актами Банка России, а также Уставом и нормативными актами агентства.
4.1.2 Обеспечение исполнения договоров, стороной которых, либо выгодоприобретателем или поручителем, по которым является Субъект ПДн.
4.1.3 Контроль исполнения обязательств Агентства.
4.1.4 Предупреждение и пресечение правонарушений в сфере гражданского оборота.
5. Общие требования к обработке ПДн.
5.1 Права субъекта в отношении персональных данных, обрабатываемых Агентством.
5.1.1 Агентство обязано предоставлять Субъекту ПДн по его заявлению (запросу, обращению) доступ к сведениям, касающимся обработки его ПДн, а именно Субъект ПДн имеет право:
- на подтверждение факта обработки ПДн Агентством;
- на правовые основания и цели обработки ПДн;
- на получение сведений о Агентстве, о месте его нахождения;
- получить информацию о способе обработки ПДн;
- получить сведения о лицах (за исключением работников) которые имеют доступ к его ПДн или которым могут быть раскрыты ПДн на основании договора с Агентством или на основании законодательства РФ;
- получить информацию о перечне обрабатываемых ПДн и источниках их получения, если иной порядок представления таких данных не предусмотрен законодательством РФ;
- получить информацию о сроках обработки и сроках хранения ПДн;
- на получение информации об осуществленной или о предполагаемой трансграничной передаче данных;
- на получение информации о наименовании или фамилии, имени, отчеству и адресу лица, осуществляющего обработку ПДн по поручению Агентства, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные законодательством РФ.
5.1.2 Право Субъекта ПДн данных на доступ к его ПДн может быть ограничено в соответствии с законодательством РФ.
5.1.3 Агентство обязано разъяснить Субъекту ПДн по его заявлению (запросу, обращению) порядок принятия решения об обработке его ПДн на основании исключительно автоматизированной обработки его ПДн и возможные юридические последствия такого решения. Предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты Субъектом ПДн своих прав и законных интересов.
5.1.4 Агентство обязано рассмотреть возражение, указанное в пункте 5.1.3 Политики, в течение тридцати календарных дней со дня его получения и уведомить Субъекта ПДн о результатах рассмотрения такого возражения.
5.1.5 Агентство обязано в срок, не превышающий семи рабочих дней со дня предоставления Субъектом ПДн или его представителем сведений:
- подтверждающих, что ПДн являются неполными, неточными или неактуальными, внести в них необходимые изменения;
- подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, уничтожить такие персональные данные.
5.1.6 Агентство обязано уведомить Cубъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от Субъекта ПДн, за исключением случаев, если:
- Субъект ПДн уведомлен об осуществлении обработки его ПДн соответствующим оператором;
- ПДн получены Агентством на основании законодательства РФ или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект ПДн;
- ПДн сделаны общедоступными Субъектом ПДн или получены из общедоступного источника;
- обработка ПДн осуществляется для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы Субъекта ПДн;
- предоставление Субъекту ПДн таких сведений нарушает права и законные интересы третьих лиц.
5.2 Обеспечение конфиденциальности ПДн.
5.2.1 Агентство и другие третьи лица, получающие доступ к ПДн, обеспечивают конфиденциальность таких данных путем реализации комплекса организационных и технических мероприятий по защите ПДн, за исключением случаев, когда обеспечение конфиденциальности персональных данных не требуется в соответствии с законодательством Российской Федерации.
5.2.2 Агентство может передавать ПДн клиентов на обработку третьим лицам (принимающей стороне), если это необходимо для достижения целей обработки ПДн и существенным условием договора является обязанность обеспечения третьей стороной конфиденциальности ПДн и безопасности ПДн при их обработке.
5.3 Условия обработки ПДн.
5.3.1 Обработка ПДн осуществляется Агентством с соблюдением принципов и правил, предусмотренных законодательством РФ, в следующих случаях:
- обработка ПДн осуществляется с согласия Субъекта ПДн на обработку его персональных данных;
- обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Агентство функций, полномочий и обязанностей;
- обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект ПДн, в том числе в случае реализации Агентство ом своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе Субъекта ПДн или договора, по которому Субъект ПДн будет являться выгодоприобретателем или поручителем;
- обработка ПДн необходима для осуществления прав и законных интересов Агентства или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта ПДн;
- осуществляется обработка ПД, доступ неограниченного круга лиц к которым предоставлен Субъектом ПДн либо по его просьбе (персональные данные, сделанные общедоступными Субъектом ПДн);
- осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РФ;
- иных случаях, предусмотренных законодательством о персональных данных.
5.3.2. Особенности обработки специальных категорий ПДн, а также биометрических ПДн устанавливаются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
5.3.3. Субъект ПДн принимает решение о предоставлении своих ПДн и дает согласие на их обработку своей волей и в своем интересе. Согласие на обработку ПДн должно быть конкретным, информированным и сознательным.
5.3.4. В случае получения согласия на обработку ПДн от представителя Субъекта ПДн полномочия данного представителя на дачу согласия от имени Субъекта ПД проверяются Агентством.
5.3.5. Трансграничная передача ПДн Агентством не осуществляется.
5.3.6. В случае, если Агентство осуществляет обработку ПДн по поручению другого оператора, Агентство не обязан получать согласие Субъекта ПДн на обработку его персональных данных.
5.3.7. Обработка ПДн осуществляется с согласия Субъекта ПДн или его представителя в письменной форме. Письменное согласие может быть включено в текст договора с Клиентом, иные документы, оформляемые Субъектом ПДн в Агентстве, либо составлено по форме (Приложение 1 к Политике) и включает в себя:
- фамилию, имя, отчество, адрес Субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя Субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя Субъекта ПДн);
- наименование или фамилию, имя, отчество и адрес Агентства;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Агентства, если обработка будет поручена такому лицу;
- цель обработки ПДн;
- перечень персональных данных, на обработку которых дается согласие Субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Агентство ом способов обработки ПДн;
- срок, в течение которого действует согласие, а также способ его отзыва, если иное не установлено законодательством РФ;
- подпись Субъекта ПДн.
5.4. Требования к обработке ПДн.
5.4.1. Требования к обработке ПДн, осуществляемых с использованием средств автоматизации, формируются в соответствии с внутренними документами Агентства и действующим законодательством РФ.
5.4.2. В Агентстве на периодической основе проводится инвентаризация ИСПДн путем опроса владельцев информационных систем на предмет наличия обработки в них ПДн и определяются уровни защищенности.
5.4.3. Для новых ИСПДн применяются аналогичные требования к наличию в них обработки ПДн и определению уровня защищенности ПДн.
5.4.4. Правила обработки персональных данных, осуществляемой без использования средств автоматизации, устанавливаются нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также с учетом требований настоящей Политики.
5.4.5. Сотрудники, осуществляющие обработку ПДн без использования средств автоматизации, должны быть проинформированы до начала обработки о категориях ПДн, об особенностях и правилах обработки ПДн, изложенных в настоящей Политике.
5.4.6. В типовых формах, в которые предполагается внесение ПДн (например, анкеты претендентов на вакансии при трудоустройстве субъектов и т.п.) должно содержаться поле для проставления субъектом ПДн отметки о согласии на обработку ПДн.
5.4.7. Типовая форма должна заполняться на каждого Субъекта ПДн в отдельности.
5.4.8. Для каждой категории персональных данных, обработка которых осуществляется без использования средств автоматизации, определяются места хранения персональных данных (материальных носителей) и устанавливается перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ в соответствии с внутренними нормативными документами Агентства.
5.4.9. В соответствии с внутренними нормативными документами Агентства обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
5.4.10. Носители ПДн не должны оставаться без присмотра. При покидании рабочего места лица, ответственные за носители ПДн, должны убирать носители в шкаф.
5.5. Меры по обеспечению безопасности ПДн при их обработке.
5.5.1. Агентство при обработке ПДн принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
5.5.2. Обеспечение безопасности ПДн достигается Агентством, в частности:
- определением угроз безопасности ПДн при их обработке в информационных ИСПДн;
- применением организационных и технических мер по обеспечению безопасности ПД при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
- оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
- учетом машинных носителей ПДн;
- обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
- восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;
- проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;
- обеспечение физической безопасности помещений и средств обработки;
- контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн;
- осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.
5.6. Взаимодействие с государственными органами.
5.6.1. Агентство предоставляет в случае поступления запросов от Уполномоченного органа по защите прав Субъектов ПДн или иных надзорных органов, осуществляющих контроль и надзор в области ПДн, информацию, необходимую для реализации его полномочий, в течение тридцати календарных дней с даты получения такого запроса.
5.6.2. Агентство, в установленных законодательством случаях и сроках, направляет уведомление об обработке ПДн в РКН. Перечень данных, которые указываются в уведомлении, определяется РКН.
6. Сроки и критерии прекращения Агентством обработки ПДн.
6.1 Критерии прекращения Агентством обработки ПДн.
6.1.1 При достижении целей обработки ПДн, если срок хранения ПДн не установлен законодательством РФ, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.
6.1.2 По требованию Уполномоченного органа по защите прав Субъектов ПДн – если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
6.1.3 При отзыве Субъектом ПДн согласия на обработку своих ПДн, если такое согласие требуется в соответствии с законодательством РФ, и не нарушает права Агентства в соответствии с законодательством РФ.
6.1.4 При отзыве Субъектом ПДн согласия на обработку его ПДн Агентство, в том числе, если обработка ПДн осуществляется другим лицом, действующим по поручению Агентства, и в случае, если сохранение ПД более не требуется для целей обработки ПДн, уничтожить ПДн, в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Агентство ом и Субъектом ПДн.
6.1.5 В случае отсутствия возможности уничтожения ПДн Агентство осуществляет блокирование таких ПДн или обеспечивает их блокирование, если обработка ПДн осуществляется другим лицом, действующим по поручению Агентства, и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен законодательством РФ.
6.2 Сроки обработки персональных данных.
6.2.1 Сроки обработки персональных данных определяются в соответствие со сроком действия договора с субъектом персональных данных, приказом Министерства культуры Российской Федерации от 25.08.2010 № 558 «Перечень типовых управленческих документов, образующихся в деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроком исковой давности, сроком исполнения решения суда, а также иными требованиями законодательства и нормативными документами Банка России.
7. Порядок уничтожения ПДн.
7.1.1 При достижении целей обработки ПДн и соблюдении всех критериев обработки ПДн, ПДн подлежат уничтожению специальной комиссией, которая создается в Агентстве по мере необходимости.
8. Контроль и ответственность.
8.1.1 Ответственность за обеспечение безопасности персональных данных в Агентстве возлагается на лицо ответственное за соблюдением политики в отношении обработки персональных данных.
8.1.2 Ответственность за соблюдение требований законодательства Российской Федерации, в части обработки персональных данных, а также требований настоящей Политики при работе сотрудников с персональными данными возлагается на лицо ответственное за соблюдением политики в отношении обработки персональных данных.
8.1.3 Сотрудники Агентства должны быть ознакомлены под роспись с требованиями данной Политики. Ответственность за своевременное ознакомление сотрудников с требованиями настоящей Политикой возлагается на лицо ответственное за соблюдением политики в отношении обработки персональных данных.
8.1.4 Предложения и замечания для внесения изменений в Политику следует направлять по адресу 2887907@mail.ru с указанием темы письма.