Г. Архангельск, ул. Постышева, 26



  1. Общие сведения

1.1. Важнейшим условием реализации целей деятельности ЗАО «Лесозавод 25» (далее Предприятие) является обеспечение конфиденциальности, целостности и доступности информационных активов, что существенно способствует обеспечению конкурентоспособности, ликвидности, доходности, соответствия законодательству и деловой репутации Предприятия.

1.2. К информационным активам относится любая информация с реквизитами, позволяющая ее идентифицировать, и имеющая ценность для Предприятия, в том числе к ним относятся персональные данные работников и контрагентов, а также информационные технологические процессы, в рамках которых они обрабатываются.

1.3. Настоящий документ разработан в соответствии с Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных» и определяет принципы, порядок и условия обработки персональных данных работников и контрагентов Предприятия, а также иных лиц, чьи персональные данные обрабатываются Предприятием, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, а также устанавливает ответственность должностных лиц Предприятия, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.4. На Предприятии введены в действие организационно-распорядительные документы, по защите персональным данным, которые являются обязательным для исполнения.

  1. Состав обрабатываемых персональных данных

2.1. Перечень персональных данных, подлежащих защите на Предприятии, формируется в соответствии с ФЗ РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

2.2. Сведениями, составляющими персональные данные, Предприятия является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.3. В зависимости от субъекта персональных данных, Предприятие обрабатывает персональные данные следующих категорий субъектов персональных данных:

2.3.1. Персональные данные работника Предприятия — информация, необходимая Предприятию в связи с трудовыми отношениями и касающиеся конкретного работника.

2.3.2. Персональные данные аффилированного лица или персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося аффилированным лицом по отношению к Предприятию — информация, необходимая Предприятию для отражения в отчетных документах о деятельности Предприятия в соответствии с требованиями федеральных законов, и иных нормативных правовых актов.

2.3.3. Персональные данные Контрагента (персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося Клиентом (потенциальным Клиентом, партнером, контрагентом) Предприятия — информация, необходимая Предприятию для выполнения своих обязательств в рамках договорных отношений с Контрагентом и для выполнения требований законодательства Российской Федерации.

  1. Цели обработки персональных данных

3.1. Целями обработки персональных данных на Предприятии являются:

Осуществление возложенных на Предприятие законодательством Российской Федерации функции в соответствии с Налоговым кодексом Российской Федерации, федеральными законами, в частности: Гражданским кодексом РФ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», ст.ст. 85-90 Трудового кодекса РФ от 30.12.2001 № 197-ФЗ, Федеральным законом от 26.12.1995 № 208-ФЗ «Об акционерных обществах», Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», Постановлением Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях персональных данных, осуществляемых без использования средств автоматизации», Постановлением правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Федеральным законом «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» от 01.04.1996 №27-ФЗ, Федеральным законом «О связи» от 07.07.2003 №126-ФЗ. , а также Уставом и иными локальными актами Предприятия.

3.1.1. Организация учета работников Предприятия для обеспечения соблюдения законов и иных нормативно-правовых актов, содействия работникам в трудоустройстве, обучении, продвижении по службе, пользования различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также Уставом и иными нормативными актами.

  1. Сроки обработки персональных данных

4.1. Сроки обработки персональных данных определяются в соответствие со сроком действия договора с субъектом персональных данных, Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», Постановлением ФКЦБ РФ от 16.07.2003 № 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ», сроком исковой давности, а также иными требованиями законодательства РФ.

  1. Принципы и условия обработки персональных данных

5.1. Обработка персональных данных на Предприятии осуществляется на основе следующих принципов:?

5.1.1. Законность целей и способов обработки персональных данных и добросовестность Предприятия, как оператора, что достигается путем установления требований к обработке персональных данных и неукоснительного их соблюдения;

5.1.2. Соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Предприятия;

5.1.3. Соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки;

5.1.4. Достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

5.1.5. Недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;

5.1.6. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и уничтожение персональных данных по достижении целей обработки или в случае утраты необходимости в их достижении.

5.2. Предприятие обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:

5.2.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

5.2.2. Обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на Предприятие функций, полномочий и обязанностей.

5.2.3. Обработка персональных данных необходима для исполнения договора, стороной которого является выгодоприобретатель как субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем.

5.2.4. Обработка персональных данных необходима для осуществления прав и законных интересов Предприятия или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

5.2.5. Осуществляется обработка общедоступных персональных данных в соответствии с Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных».

5.2.6. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

5.3. Предприятие и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

5.4. Поручение обработки персональных данных другому лицу, осуществляется исключительно с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Предприятия, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных».

  1. Обеспечение безопасности персональных данных

6.1. Безопасность персональных данных, обрабатываемых Предприятием, обеспечивается реализацией системы информационной безопасности Предприятия, включающей организационные и технические меры защиты информации, необходимые и достаточные для обеспечения требований нормативных правовых актов в области защиты персональных данных.

6.2. Определение и реализация требований к системе информационной безопасности Предприятия, в том числе системе защиты персональных данных, осуществляется на основе внутренних документов Предприятия

6.3. Предприятием применяются следующие организационные и технические меры по защите информации:

6.3.1. Назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных.

6.3.2. Ограничение и регламентация состава работников, имеющих доступ к персональным данным.

6.3.3. Ознакомление работников с требованиями федерального законодательства и нормативных документов Предприятия по обработке и защите персональных данных.

6.3.4. Регистрация и учёт действий пользователей информационных систем персональных данных.

6.3.5. Применение систем программной и аппаратной аутентификации пользователей в информационной системе персональных данных.

6.3.6. Осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок.

6.3.7. Применение средств межсетевого экранирования и обнаружения вторжений.

6.3.8. Применение средств резервного копирования и восстановления информации.

6.3.9. Проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных.

6.3.10. Размещение технических средств обработки персональных данных, в пределах охраняемой территории.

6.3.11. Применение технических средств охраны помещений, в которых расположены технические средства информационных систем персональных данных, и мест хранения материальных носителей персональных данных.

  1. Заключительные положения

7.1. Настоящая Политика является внутренним общедоступным документом Предприятия и подлежит размещению в электронном виде на официальном сайте Предприятия.

7.2. Настоящая Политика подлежит пересмотру не реже одного раза в три года, а также в случаях изменения нормативных правовых актов и методических документов РФ в области обработки и защиты персональных данных.

7.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение безопасности персональных данных Предприятия, назначаемым приказом Генерального директора Предприятия.

7.4. Ответственность должностных лиц Предприятия, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Предприятия.