Политика обработки и защиты персональных данных

1. Общие положения

С целью поддержания деловой репутации и обеспечения выполнения норм федерального законодательства ООО «Оранж Бизнес Сервисез» (далее – Компания) считает задачу обеспечения легитимности обработки и безопасности персональных данных (далее - ПДн) важнейшей.

Для решения данной задачи в Компании введена, функционирует и проходит периодический пересмотр (контроль) система защиты персональных данных.

В основу системы обеспечения безопасности ПДн при их обработке в Компании положены следующие принципы:

  • законности и добросовестности целей, способов управления, защиты и обработки ПДн;
  • соответствия целей обработки ПДн целям, заранее определённым и заявленным при сборе ПДн, а также требованиям законодательства, выполняемых Компанией;
  • соответствия объёма и характера обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн;
  • достоверности ПДн и их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;
  • личной ответственность работников, участвующих в обработке ПДн и обслуживании ИСПДн, за сохранность и конфиденциальность сведений о ПДн, а также носителей этой информации;
  • проведения регулярного контроля исполнения установленных норм и правил обработки ПДн;
  • непрерывной оценки рисков, связанных с нарушением защиты ПДн и реализации мероприятий по их предотвращению.

 

2. Цели обработки персональных данных

В соответствии с принципами обработки персональных данных, в Компании определены цели их обработки:

  • рассмотрение резюме и подбор кандидатов на вакантные должности для дальнейшего трудоустройства в Компанию;
  • управление персоналом в соответствии с требованиями законов и нормативных актов РФ;
  • расчёт заработной платы по любым видам начислений и удержаний;
  • содействие работникам в обучении и карьерном росте, получении льгот и компенсаций;
  • наделение представителей Компании полномочиями заключения сделок и совершения иных действий;
  • осуществление тендерных закупок;
  • ведение договорной работы в соответствии с требованиями законов и нормативных актов РФ (в т.ч. заключение, сопровождение, изменение, расторжение договоров);
  • ведение бухгалтерского и налогового учёта;
  • формирование отчётов для представления в различные контролирующие органы.
  • осуществление досудебной и судебной работы;
  • исполнение запросов уполномоченных государственных и муниципальных органов, в том числе органов оперативно-розыскной деятельности, а также субъектов ПДн;
  • выполнения требований законодательных актов, нормативных документов и иных нормативно-правовых актов, в части передачи информации третьим лицам;
  • осуществление деловых контактов;
  • выполнение законодательства в области охраны труда;
  • проведение рекламных и маркетинговых акций.

 

3. Правила обработки персональных данных

В Компании допускается обработка только тех персональных данных, которые представлены в документе SP7-П-СК-292  «Перечне ПДн, обрабатываемых в ООО «Оранж Бизнес Сервисез» и список информационных систем используемых для обработки ПДн».

В Компании не допускается обработка следующих категорий персональных данных, касающихся:

  • расовой принадлежности;
  • политических взглядов;
  • философских убеждений;
  • состояние здоровья;
  • интимной жизни;
  • национальной принадлежности;
  • религиозных убеждений.

 

В Компании не производится обработка биометрических ПДн.

Компания в ходе своей деятельности может предоставлять персональные данные субъектов третьим лицам, в случаях и порядке, предусмотренных договорами и положениями законодательства*.

В Компании осуществляется трансграничная передача персональных данных. Трансграничная передача персональных данных осуществляется с согласия субъекта персональных данных в соответствии с действующим законодательством.

В Компании запрещено принятие решений относительно субъектов персональных данных на основании исключительно автоматизированной обработки их персональных данных.

В Компании не осуществляется обработка данных о судимости субъектов за исключением случаев, которые определяются в соответствии с федеральными законами.

Компания не размещает персональные данные субъекта в общедоступных источниках без его предварительного согласия.

 

4. Реализация требований по обеспечению безопасности персональных данных

Деятельность Компании по обработке персональных данных и обеспечения их безопасности осуществляется в соответствии со следующими нормативными правовыми актами и организационно-распорядительными документами:

  • Конвенция от 28 января 1981 г. «О защите прав физических лиц в отношении автоматизированной обработки данных личного характера» (ETS N 108);
  • Директива 2002/58/ЕС Европейского парламента и Совета Европейского Союза от 2002 года «О защите прав частных лиц  применительно к обработке персональных данных и о свободном движении таких данных»;
  • Дополнительный протокол к Конвенции «О защите частных лиц в отношении автоматизированной обработки данных личного характера, о наблюдательных органах и трансграничной передаче информации" (ETS N 181).
  • Конституция РФ;
  • Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ;
  • Гражданский кодекс РФ;
  • Федеральный закон Российской Федерации  от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
  • Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Федеральный закон РФ от 07.07.2003 № 126-Ф3 «О связи»;
  • Федеральный закон от 27.07.2006 г. № 149-Ф3 «Об информации, информационных технологиях и защите информации»;
  • Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Постановлением Правительства № 538 «Об утверждении Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность»;
  • Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Положение «Об обеспечении безопасности персональных данных при их обработке в ООО «Оранж Бизнес Сервисез»;
  • Приказ «Об утверждении Правил обработки персональных данных, осуществляемых без использования средств автоматизации в ООО «Оранж Бизнес Сервисез».

 

Компания проводит оценку вреда, который может быть причинен субъектам персональных данных и определяет угрозы безопасности персональных данных. В соответствии с выявленными актуальными угрозами Компания применяет необходимые и достаточные организационные и технические меры, включающие в себя использование средств защиты информации, обнаружение фактов несанкционированного доступа, восстановление персональных данных, установление правил доступа к персональным данным, а также контроль и оценку эффективности применяемых мер.

В Компании назначены лица, ответственные за организацию обработки и обеспечения безопасности персональных данных.

Руководство Компании осознает необходимость и заинтересовано в обеспечении должного как с точки зрения требований нормативных документов РФ, так и обоснованного с точки зрения оценки рисков для бизнеса уровня безопасности персональных данных, обрабатываемых в рамках выполнения основной деятельности Компании.

 

 

* Обработка персональных данных в целях обслуживания входящих вызовов от абонентов и иных лиц поручена ООО «ГРАН ЛИМИТЕД» (445037, Самарская область, город Тольятти, проспект Ленинский, дом 16, офис 2-1, ОГРН: 1027739250824)