Политика в области персональных данных

Настоящий документ определяет политику АО «СКьюТим» в отношении обработки персональных данных, содержит описание мер по защите персональных данных, и разработан на основе законодательства Российской Федерации о персональных данных – Федеральный закон РФ "О персональных данных" (152-ФЗ).

Термины и определения

Информационная система персональных данных (ИСПДн) − информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без их использования.

Конфиденциальность персональных данных − обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Несанкционированный доступ к информации (НСД) − доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

Обработка персональных данных − любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор − государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные (ПДн) − любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

Уничтожение персональных данных − действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

  1. ОБЩИЕ ПОЛОЖЕНИЯ
    1. Настоящая «Политика в отношении обработки персональных данных АО «СКьюТим» (далее – Политика) является локальным нормативным документом АО «СКьюТим» и составлена в соответствии с п. 2 ст. 18.1 Федерального закона от 27 июля 2006 №152-ФЗ «О персональных данных» и действует в отношении ПДн, обрабатываемых АО «СКьюТим» (далее – Оператор).
    2. Целью настоящей Политики является:
      • соблюдение федерального законодательства в области защиты ПДн;
      • создание нормативной основы для регулирования процессов обработки ПДн Оператором. В качестве субъектов ПДн выступают соискатели, предоставляющие свое резюме с целью рассмотрения на вакантные должности.
    3. Политика распространяется на ПДн полученные как до, так и после утверждения настоящей Политики.
    4. Каждый работник Оператора, осуществляющий обработку ПДн, должен быть ознакомлен с настоящей Политикой, что должно быть подтверждено собственноручной подписью работника в листе ознакомления.
  2. ПЕРСОНАЛЬНЫЕ ДАННЫЕ, ОБРАБАТЫВАЕМЫЕ ОПЕРАТОРОМ
    1. Персональные данные являются информацией особой важности, которая подлежит защите, как Оператором, так и его контрагентами, которым эти данные передаются.
    2. Собственником информационных ресурсов (персональных данных) является субъект ПДн, в полном объеме реализующий полномочия владения, пользования, распоряжения этими ресурсами.
    3. Оператор осуществляет обработку ПДн соискателей, предоставляющих свое резюме с целью рассмотрения на вакантные должности, Посетителей Сайта www.sqteam.ru и www.skazhihr.ru и иных физических лиц в соответствии с нормативно-правовыми актами, являющимися основанием обработки ПДн.
    4. Правовое обоснование в области обработки ПДн определяется в соответствии со следующими нормативными правовыми актами РФ:
      1. Конституцией Российской Федерации.
      2. Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
      3. Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о ПДн).
      4. Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
    5. Оператор производит обработку следующих ПДн субъектов ПДн:
      • фамилия;
      • имя;
      • отчество;
      • дата (число, месяц, год) рождения;
      • образование;
      • профессия;
      • контактная информация;
      • сведения о стаже и характере работы.
  3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
    1. Персональные данные обрабатываются в организации в целях содействия к трудоустройству.
    2. Проведения маркетинговых программ.
    3. Проведения опросов и исследований, направленных на выявление удовлетворенности/неудовлетворенности клиентов, постоянного совершенствования уровня предоставляемых услуг.
    4. Информирования клиентов о проводимых акциях и бонусных мероприятиях.
    5. Обеспечения пропускного и внутриобъектового режимов на объектах организации.
    6. Оформления Пользователем Сайта Заказа на сайте www.sqteam.ru и www.skazhihr.ru;
    7. Для выполнения своих обязательств перед Пользователем Сайта.
    8. В иных законных целях.
  4. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ
    1. Обработка ПДн должна осуществляться на основе следующих принципов:
      1. При обработке ПДн Оператор руководствуется Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. и настоящей Политикой.
      2. Обработка ПДн должна осуществляться на законной и справедливой основе.
      3. Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
      4. Обработке подлежат только ПДн, которые отвечают целям их обработки.
      5. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
      6. При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных, или неточных данных.
      7. Обработка ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни не допускается, за исключением случая получения согласия в письменной форме субъекта ПД, и иных случаев, предусмотренных ч.2 ст.10 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных».
      8. Обработкой ПДн занимаются только те работники, которые имеют соответствующий допуск к работе, а также обработка предусмотрена их должностными обязанностями.
      9. Доступ к информационным системам, содержащим ПДн, защищен паролями.
      10. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
      11. Если ПДн возможно получить только у третьей стороны, Субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие передающей стороной.
      12. В случаях, когда Оператор осуществляет обработку ПДн по поручению третьей стороны, Оператор не обязан получать согласие субъекта ПДн на обработку его ПДн.
    2. Оператор вправе передать персональные данные третьим лицам в следующих случаях:
      1. Субъект ПДн явно выразил свое согласие на такие действия;
      2. Передача предусмотрена Российским или иным применимым законодательством в рамках установленной законодательством процедуры;
    3. В случае если Оператор ПДн на основании договора с другим лицом поручает ему обработку ПДн, существенным условием договора является обязанность соблюдения принципов и правил обработки ПДн, предусмотренных Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных». При этом ответственность за действия третьего лица несет Оператор, а третье лицо несет ответственность перед Оператором.
    4. Хранение персональных данных:
      1. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен Федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
      2. ПДн на бумажных носителях, обрабатываемые без использования средств автоматизации, хранятся Оператором в запираемых шкафах в запираемых помещениях в соответствии с требованием законодательства Российской Федерации.
      3. ПДн, содержащиеся на машинных носителях информации, хранятся у ответственных работников Оператора с соблюдением установленных требований информационной безопасности.
      4. ПДн, содержащиеся на бумажных носителях, по истечении текущей востребованности сдаются в архив и хранятся там, в соответствии с установленными сроками хранения.
    5. Уничтожение персональных данных
      1. ПДн подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
      2. Документы, содержащие ПДн, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
  5. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
    1. Субъект персональных данных имеет право на:
      • получение сведений об Операторе, о месте его нахождения, о наличии у Оператора ПДн, относящихся к этому субъекту.
      • свободный бесплатный доступ к своим ПДн, включая право на получение выдержки из любой записи, в части, содержащей его ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации в области ПДн;
      • исключение, исправление, блокирование или уничтожение неверных, или неполных ПДн, а также данных, обработка которых ведется с нарушением требований Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных».
      • обжалование действия или бездействия Оператора в случаях, если он считает, что Оператор осуществляет обработку ПДн с нарушение требований законодательства Российской Федерации или иным образом нарушает его права и свободы.
    2. Право субъекта ПДн на доступ к своим персональным данным ограничивается в случае, если предоставление ПДн нарушает конституционные права и свободы других лиц.
    3. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в суде.
  6. МЕРЫ, ПРИМЕНЯЕМЫЕ ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
    1. Оператор при обработке ПДн принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности ПДн достигается, в частности, следующими способами:
      1. Назначением ответственных за организацию обработки ПДн.
      2. Ознакомлением работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации в области ПДн, в том числе с требованиями к защите ПДн, локальными нормативными актами в отношении обработки ПДн, и (или) обучением указанных работников.
      3. Определением угроз безопасности ПДн при их обработке в ИСПДн.
      4. Применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн.
      5. Учетом машинных носителей ПДн.
      6. Выявлением фактов несанкционированного доступа к ПДн и принятием соответствующих мер.
      7. Восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
      8. Установлением доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн.
      9. Контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ИСПДн.
  7. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
    1. Персональная ответственность – одно из главных требований к организации функционирования системы защиты информации о персональных данных, являющееся обязательным условием обеспечения эффективности данной системы.
    2. Каждый работник Оператора несет персональную ответственность за разглашение ПДн, доступ к которым он получил.
    3. Лица, виновные в нарушении требований Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных», несут дисциплинарную, гражданскую, уголовную, административную и иную предусмотренную законодательством Российской Федерации ответственность.
  8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
    1. Настоящая Политика утверждается директором организации.
    2. Срок действия настоящей Политики – пять лет с момента утверждения. По истечении срока действия (при необходимости – ранее) Политика подлежит пересмотру. Внесение изменений в Политику производит структурное подразделение, ответственное за обеспечение безопасности ПДн.
    3. Настоящая Политика подлежит пересмотру в случае изменения законодательства Российской Федерации в области ПДн. Внесение изменений в Политику производит структурное подразделение, ответственное за обеспечение безопасности ПДн.
    4. Настоящая Политика обязательна для соблюдения и подлежит доведению до всех работников организации. Контроль за соблюдением Политики осуществляет директор организации.