- Общие сведения
1.1. Важнейшим условием реализации целей деятельности ЗАО «Лесозавод 25» (далее Предприятие) является обеспечение конфиденциальности, целостности и доступности информационных активов, что существенно способствует обеспечению конкурентоспособности, ликвидности, доходности, соответствия законодательству и деловой репутации Предприятия.
1.2. К информационным активам относится любая информация с реквизитами, позволяющая ее идентифицировать, и имеющая ценность для Предприятия, в том числе к ним относятся персональные данные работников и контрагентов, а также информационные технологические процессы, в рамках которых они обрабатываются.
1.3. Настоящий документ разработан в соответствии с Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных» и определяет принципы, порядок и условия обработки персональных данных работников и контрагентов Предприятия, а также иных лиц, чьи персональные данные обрабатываются Предприятием, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, а также устанавливает ответственность должностных лиц Предприятия, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.4. На Предприятии введены в действие организационно-распорядительные документы, по защите персональным данным, которые являются обязательным для исполнения.
- Состав обрабатываемых персональных данных
2.1. Перечень персональных данных, подлежащих защите на Предприятии, формируется в соответствии с ФЗ РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
2.2. Сведениями, составляющими персональные данные, Предприятия является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.3. В зависимости от субъекта персональных данных, Предприятие обрабатывает персональные данные следующих категорий субъектов персональных данных:
2.3.1. Персональные данные работника Предприятия — информация, необходимая Предприятию в связи с трудовыми отношениями и касающиеся конкретного работника.
2.3.2. Персональные данные аффилированного лица или персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося аффилированным лицом по отношению к Предприятию — информация, необходимая Предприятию для отражения в отчетных документах о деятельности Предприятия в соответствии с требованиями федеральных законов, и иных нормативных правовых актов.
2.3.3. Персональные данные Контрагента (персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося Клиентом (потенциальным Клиентом, партнером, контрагентом) Предприятия — информация, необходимая Предприятию для выполнения своих обязательств в рамках договорных отношений с Контрагентом и для выполнения требований законодательства Российской Федерации.
- Цели обработки персональных данных
3.1. Целями обработки персональных данных на Предприятии являются:
Осуществление возложенных на Предприятие законодательством Российской Федерации функции в соответствии с Налоговым кодексом Российской Федерации, федеральными законами, в частности: Гражданским кодексом РФ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», ст.ст. 85-90 Трудового кодекса РФ от 30.12.2001 № 197-ФЗ, Федеральным законом от 26.12.1995 № 208-ФЗ «Об акционерных обществах», Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», Постановлением Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях персональных данных, осуществляемых без использования средств автоматизации», Постановлением правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Федеральным законом «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» от 01.04.1996 №27-ФЗ, Федеральным законом «О связи» от 07.07.2003 №126-ФЗ. , а также Уставом и иными локальными актами Предприятия.
3.1.1. Организация учета работников Предприятия для обеспечения соблюдения законов и иных нормативно-правовых актов, содействия работникам в трудоустройстве, обучении, продвижении по службе, пользования различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также Уставом и иными нормативными актами.
- Сроки обработки персональных данных
4.1. Сроки обработки персональных данных определяются в соответствие со сроком действия договора с субъектом персональных данных, Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», Постановлением ФКЦБ РФ от 16.07.2003 № 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ», сроком исковой давности, а также иными требованиями законодательства РФ.
- Принципы и условия обработки персональных данных
5.1. Обработка персональных данных на Предприятии осуществляется на основе следующих принципов:?
5.1.1. Законность целей и способов обработки персональных данных и добросовестность Предприятия, как оператора, что достигается путем установления требований к обработке персональных данных и неукоснительного их соблюдения;
5.1.2. Соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Предприятия;
5.1.3. Соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки;
5.1.4. Достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
5.1.5. Недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;
5.1.6. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и уничтожение персональных данных по достижении целей обработки или в случае утраты необходимости в их достижении.
5.2. Предприятие обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:
5.2.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
5.2.2. Обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на Предприятие функций, полномочий и обязанностей.
5.2.3. Обработка персональных данных необходима для исполнения договора, стороной которого является выгодоприобретатель как субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем.
5.2.4. Обработка персональных данных необходима для осуществления прав и законных интересов Предприятия или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
5.2.5. Осуществляется обработка общедоступных персональных данных в соответствии с Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных».
5.2.6. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
5.3. Предприятие и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
5.4. Поручение обработки персональных данных другому лицу, осуществляется исключительно с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Предприятия, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных».
- Обеспечение безопасности персональных данных
6.1. Безопасность персональных данных, обрабатываемых Предприятием, обеспечивается реализацией системы информационной безопасности Предприятия, включающей организационные и технические меры защиты информации, необходимые и достаточные для обеспечения требований нормативных правовых актов в области защиты персональных данных.
6.2. Определение и реализация требований к системе информационной безопасности Предприятия, в том числе системе защиты персональных данных, осуществляется на основе внутренних документов Предприятия
6.3. Предприятием применяются следующие организационные и технические меры по защите информации:
6.3.1. Назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных.
6.3.2. Ограничение и регламентация состава работников, имеющих доступ к персональным данным.
6.3.3. Ознакомление работников с требованиями федерального законодательства и нормативных документов Предприятия по обработке и защите персональных данных.
6.3.4. Регистрация и учёт действий пользователей информационных систем персональных данных.
6.3.5. Применение систем программной и аппаратной аутентификации пользователей в информационной системе персональных данных.
6.3.6. Осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок.
6.3.7. Применение средств межсетевого экранирования и обнаружения вторжений.
6.3.8. Применение средств резервного копирования и восстановления информации.
6.3.9. Проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных.
6.3.10. Размещение технических средств обработки персональных данных, в пределах охраняемой территории.
6.3.11. Применение технических средств охраны помещений, в которых расположены технические средства информационных систем персональных данных, и мест хранения материальных носителей персональных данных.
- Заключительные положения
7.1. Настоящая Политика является внутренним общедоступным документом Предприятия и подлежит размещению в электронном виде на официальном сайте Предприятия.
7.2. Настоящая Политика подлежит пересмотру не реже одного раза в три года, а также в случаях изменения нормативных правовых актов и методических документов РФ в области обработки и защиты персональных данных.
7.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение безопасности персональных данных Предприятия, назначаемым приказом Генерального директора Предприятия.
7.4. Ответственность должностных лиц Предприятия, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Предприятия.