1. Общие положения
С целью поддержания деловой репутации и обеспечения выполнения норм федерального законодательства ООО «Оранж Бизнес Сервисез» (далее – Компания) считает задачу обеспечения легитимности обработки и безопасности персональных данных (далее - ПДн) важнейшей.
Для решения данной задачи в Компании введена, функционирует и проходит периодический пересмотр (контроль) система защиты персональных данных.
В основу системы обеспечения безопасности ПДн при их обработке в Компании положены следующие принципы:
- законности и добросовестности целей, способов управления, защиты и обработки ПДн;
- соответствия целей обработки ПДн целям, заранее определённым и заявленным при сборе ПДн, а также требованиям законодательства, выполняемых Компанией;
- соответствия объёма и характера обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн;
- достоверности ПДн и их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;
- личной ответственность работников, участвующих в обработке ПДн и обслуживании ИСПДн, за сохранность и конфиденциальность сведений о ПДн, а также носителей этой информации;
- проведения регулярного контроля исполнения установленных норм и правил обработки ПДн;
- непрерывной оценки рисков, связанных с нарушением защиты ПДн и реализации мероприятий по их предотвращению.
2. Цели обработки персональных данных
В соответствии с принципами обработки персональных данных, в Компании определены цели их обработки:
- рассмотрение резюме и подбор кандидатов на вакантные должности для дальнейшего трудоустройства в Компанию;
- управление персоналом в соответствии с требованиями законов и нормативных актов РФ;
- расчёт заработной платы по любым видам начислений и удержаний;
- содействие работникам в обучении и карьерном росте, получении льгот и компенсаций;
- наделение представителей Компании полномочиями заключения сделок и совершения иных действий;
- осуществление тендерных закупок;
- ведение договорной работы в соответствии с требованиями законов и нормативных актов РФ (в т.ч. заключение, сопровождение, изменение, расторжение договоров);
- ведение бухгалтерского и налогового учёта;
- формирование отчётов для представления в различные контролирующие органы.
- осуществление досудебной и судебной работы;
- исполнение запросов уполномоченных государственных и муниципальных органов, в том числе органов оперативно-розыскной деятельности, а также субъектов ПДн;
- выполнения требований законодательных актов, нормативных документов и иных нормативно-правовых актов, в части передачи информации третьим лицам;
- осуществление деловых контактов;
- выполнение законодательства в области охраны труда;
- проведение рекламных и маркетинговых акций.
3. Правила обработки персональных данных
В Компании допускается обработка только тех персональных данных, которые представлены в документе SP7-П-СК-292 «Перечне ПДн, обрабатываемых в ООО «Оранж Бизнес Сервисез» и список информационных систем используемых для обработки ПДн».
В Компании не допускается обработка следующих категорий персональных данных, касающихся:
- расовой принадлежности;
- политических взглядов;
- философских убеждений;
- состояние здоровья;
- интимной жизни;
- национальной принадлежности;
- религиозных убеждений.
В Компании не производится обработка биометрических ПДн.
Компания в ходе своей деятельности может предоставлять персональные данные субъектов третьим лицам, в случаях и порядке, предусмотренных договорами и положениями законодательства*.
В Компании осуществляется трансграничная передача персональных данных. Трансграничная передача персональных данных осуществляется с согласия субъекта персональных данных в соответствии с действующим законодательством.
В Компании запрещено принятие решений относительно субъектов персональных данных на основании исключительно автоматизированной обработки их персональных данных.
В Компании не осуществляется обработка данных о судимости субъектов за исключением случаев, которые определяются в соответствии с федеральными законами.
Компания не размещает персональные данные субъекта в общедоступных источниках без его предварительного согласия.
4. Реализация требований по обеспечению безопасности персональных данных
Деятельность Компании по обработке персональных данных и обеспечения их безопасности осуществляется в соответствии со следующими нормативными правовыми актами и организационно-распорядительными документами:
- Конвенция от 28 января 1981 г. «О защите прав физических лиц в отношении автоматизированной обработки данных личного характера» (ETS N 108);
- Директива 2002/58/ЕС Европейского парламента и Совета Европейского Союза от 2002 года «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных»;
- Дополнительный протокол к Конвенции «О защите частных лиц в отношении автоматизированной обработки данных личного характера, о наблюдательных органах и трансграничной передаче информации" (ETS N 181).
- Конституция РФ;
- Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ;
- Гражданский кодекс РФ;
- Федеральный закон Российской Федерации от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
- Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федеральный закон РФ от 07.07.2003 № 126-Ф3 «О связи»;
- Федеральный закон от 27.07.2006 г. № 149-Ф3 «Об информации, информационных технологиях и защите информации»;
- Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановлением Правительства № 538 «Об утверждении Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность»;
- Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Положение «Об обеспечении безопасности персональных данных при их обработке в ООО «Оранж Бизнес Сервисез»;
- Приказ «Об утверждении Правил обработки персональных данных, осуществляемых без использования средств автоматизации в ООО «Оранж Бизнес Сервисез».
Компания проводит оценку вреда, который может быть причинен субъектам персональных данных и определяет угрозы безопасности персональных данных. В соответствии с выявленными актуальными угрозами Компания применяет необходимые и достаточные организационные и технические меры, включающие в себя использование средств защиты информации, обнаружение фактов несанкционированного доступа, восстановление персональных данных, установление правил доступа к персональным данным, а также контроль и оценку эффективности применяемых мер.
В Компании назначены лица, ответственные за организацию обработки и обеспечения безопасности персональных данных.
Руководство Компании осознает необходимость и заинтересовано в обеспечении должного как с точки зрения требований нормативных документов РФ, так и обоснованного с точки зрения оценки рисков для бизнеса уровня безопасности персональных данных, обрабатываемых в рамках выполнения основной деятельности Компании.
* Обработка персональных данных в целях обслуживания входящих вызовов от абонентов и иных лиц поручена ООО «ГРАН ЛИМИТЕД» (445037, Самарская область, город Тольятти, проспект Ленинский, дом 16, офис 2-1, ОГРН: 1027739250824)