Политика обработки и защиты персональных данных

1. Общие положения

1.1. Настоящая политика (далее – Политика) в области обработки и защиты персональных данных Государственном унитарное предприятии Республики Татарстан «Татарское книжное издательство» (далее - Оператор) разработана в целях обеспечения реализации требований законодательства РФ в области обработки персональных данных субъектов персональных данных.

1.2. Настоящая Политика раскрывает основные категории персональных данных, обрабатываемых Оператором, цели, способы и принципы обработки Оператором персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке.

1.3. Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ:

- Конституция Российской Федерации;

- Трудовой кодекс Российской Федерации;

- Федеральный закон РФ от 01 апреля 1996 года № 27-ФЗ «Об индивидуальном (персонифицированном) учете и системе обязательного пенсионного страхования»;

- Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

- Федеральный закон от 29 декабря 2006 года № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;

- Федеральный закон от 29 ноября 2010 года № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;

- Постановление Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при обработке в информационных системах персональных данных»;

- Положение об обработке персональных данных, осуществляемых без использования средств автоматизации, утверждённое постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.

1.4. Настоящая Политика является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке персональных данных.

 

2. Термины и определения

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;

Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.

 

3. Цели и принципы обработки персональных данных

3.1. Персональные данные обрабатываются Оператором в следующих целях:

3.1.1. осуществление и выполнение возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей, в частности:

—по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы и органы местного самоуправления;

— ведение текущего бухгалтерского и налогового учёта, формирование, изготовление и своевременная подача бухгалтерской, налоговой и статистической отчётности;

— исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

— регулирования трудовых отношений с работниками Оператора (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);

— предоставления работникам Оператора и членам их семей дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;

— выполнение требований законодательства по определению порядка обработки и защиты персональных данных граждан, являющихся контрагентами Оператора.

3.1.2. осуществления прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Оператора, или третьих лиц либо достижения общественно значимых целей;

3.1.3. в иных законных целях.

3.2. Обработка персональных данных Оператором осуществляется на основе следующих принципов:

3.2.1. обработка персональных данных осуществляется на законной и справедливой основе;

3.2.2. обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;

3.2.3. не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

3.2.4. не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

3.2.5. обработке подлежат только персональные данные, которые отвечают целям их обработки;

3.2.6. содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;

3.2.7. при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;

3.2.8. хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

3.2.9. обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

 

4. Действия, осуществляемые с персональными данными,

и способы их осуществления

4.1. Оператор при обработке персональных данных осуществляет следующие действия:

• сбор,
• запись,
• систематизация,
• накопление,
• хранение,
• уточнение (обновление, изменение),
• извлечение,
• использование,
• передача (распространение, предоставление, доступ),
• обезличивание,
• блокирование,
• удаление, уничтожение персональных данных.

4.2. Обработка персональных данных Оператором осуществляется следующими способами:

• неавтоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка персональных данных.

 

5. Категории субъектов персональных данных и их права

5.1. Оператор осуществляет обработку персональных данных следующих категорий субъектов:

5.1.1. работники Оператора, а также родственники Работника;

5.1.2. контрагенты Оператора.

5.2. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.

5.3. Субъект персональных данных вправе требовать от Оператора уточнения, обрабатываемых Оператором персональных данных субъекта персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

5.4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

5.5. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

5.6. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.

5.7. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

 

6. Категории персональных данных и источники их получения

6.1. Оператором обрабатываются следующие категории персональных данных:

6.1.1. Персональные данные работников Оператора, в том числе родственников работника:

• Фамилия, имя, отчество;
• Паспортные данные;
• Дата и место рождения;
• Адрес проживания;
• Семейное положение;
• Образование;
• Профессия;
• Данные ИНН;
• Данные Пенсионного страхового свидетельства;
• Данные медицинских полисов;
• Сведения о рождении детей, о заключении/расторжении брака;
• Данные о воинском учете;
• Место работы;
• Должность;
• Телефоны домашний и сотовый;
• Сведения о трудовой деятельности.
• Сведения о родственниках работника (фамилия, имя, отчество, дата рождения; степень родства).

6.1.2. Персональные данные физических лиц – контрагентов Оператора:

• Фамилия, имя, отчество;
• Дата и место рождения;
• Адрес проживания;
• Паспортные данные;
• Данные ИНН;
• Данные Пенсионного страхового свидетельства;
• Телефоны домашний и сотовый;
• Адрес электронной почты;
• сведения о предпочтениях при выборе продукции Издательства и о количестве приобретаемой продукции;
• сведения о страницах в социальных сетях;
• пользовательские данные (сведения о местоположении;о действиях на сайте Издательства; IP-адрес; SID);
• сведения о поступающих платежах;
• Реквизиты банковского счета.

6.2. Получение сведений о персональных данных осуществляется на основании документов и информации, представленных лично работниками Оператора в процессе трудовых отношений, а также лично лицами, заключающими гражданско-правовые договоры с Оператором, граждан, обратившихся к Оператору в установленном порядке.

 

7. Порядок обработки персональных данных

7.1. Оператор производит обработку персональных данных при наличии хотя бы одного из следующих условий:

7.1.1. обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

7.1.2. обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

7.1.3. обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

7.1.4.  обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

7.1.5. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

7.1.6. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

7.1.7. обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7.1.8. обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

7.1.9. обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;

7.1.10. осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

7.1.11. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

7.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, Оператором не осуществляется.

Обработка персональных данных о судимости может осуществляться Оператором исключительно в случаях и в порядке, которые определяются в соответствии с федеральными законами.

7.3. Обработка биометрических персональных данных Оператором не осуществляется.

7.4. Трансграничная передача персональных данных Оператором не осуществляется.

7.5. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные действующим законодательством и настоящей Политикой.

Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

 

8. Доступ к персональным данным

8.1. Право доступа к персональным данным сотрудников имеют:

- генеральный директор Оператора;

- сотрудники отдела кадров;

- сотрудники бухгалтерии;

- юрисконсульт;

- заведующий канцелярией;

- специалист по воинскому учету;

- сотрудники, ответственные за оформление договоров с физическими лицами – контрагентами Оператора;

- руководители структурных подразделений по направлению деятельности.

Указанные лица проходят ознакомление с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите персональных данных, а также дают обязательство по неразглашению сведений, составляющих персональные данные.

8.2. Доступ к персональным данным иным лицам может быть предоставлен на основании приказа Генерального директора Оператора в целях, установленных пунктом 3.1 настоящей Политики, с обязательным ознакомлением указанных лиц с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите персональных данных.

Лицо, которому предоставлен доступ к персональным данным в порядке, установленном настоящим пунктам, принимает на себя обязательства по неразглашению указанных сведений.

8.3. При передаче персональных данных сотрудника работодатель должен соблюдать следующие требования:

8.3.1. Не сообщать персональные данные сотрудника третьей стороне без письменного согласия сотрудника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника, а также в случаях, установленных федеральным законом;

8.3.2. Не сообщать персональные данные сотрудника в коммерческих целях без его письменного согласия. Обработка персональных данных сотрудников в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия;

8.3.3. Предупредить лиц, получивших персональные данные сотрудника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено;

8.3.4. Не запрашивать информацию о состоянии здоровья сотрудника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения сотрудником трудовой функции;

8.3.5. Передавать персональные данные сотрудника его законным, полномочным представителям в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.

 

9. Меры по защите персональных данных

9.1. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.

9.2. Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры:

9.2.1. принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;

9.2.2. назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;

9.2.3. ограничение состава лиц, допущенных к обработке персональных данных;

9.2.4. организация обучения и проведение методической работы с лицами, осуществляющими обработку персональных данных;

9.2.5. ознакомление субъектов с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите персональных данных;

9.2.6. получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;

9.2.7. организация учета, хранения и обращения носителей, содержащих информацию с персональными данными;

9.2.8. определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;

9.2.9. использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;

9.2.10. использование антивирусных средств и средств восстановления системы защиты персональных данных;

9.2.11. применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;

9.2.12. организация пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки персональных данных, с носителями, содержащими персональные данные.

 

10. Срок хранения персональных данных,

блокировка и уничтожение персональных данных

10.1. Течение срока обработки персональных данных начинается с момента их получения Оператором.

10.2. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъект персональных данных, не дольше, чем того требуют цели их обработки.

10.3. Персональные данные работников Оператора, в том числе родственников работника, используются в течение трудовой деятельности в соответствии с трудовым договором, а также на протяжении установленного законодательством срока хранения личного дела в архиве (75 лет).

10.4. Персональные данные граждан – контрагентов Оператора хранятся в течение срока, определённого действующим законодательством.

10.5. Целью блокирования персональных данных является временное прекращение обработки персональных данных до момента устранения обстоятельств, послуживших основанием для блокирования персональных данных.

Блокирование персональных данных осуществляется Оператором по требованию субъекта персональных данных или его представителя, а также по требованию уполномоченного органа по защите прав субъектов персональных данных в случае выявления недостоверных персональных данных или неправомерных действий с ними.

10.6. Уничтожение персональных данных осуществляется Оператором:

- по достижении цели обработки персональных данных;

- в случае утраты необходимости в достижении целей обработки персональных данных;

- в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных;

- по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных в случае выявления фактов совершения администрацией района неправомерных действий с персональными данными, когда устранить соответствующие нарушения не представляется возможным.

При уничтожении материальных носителей персональных данных составляется акт об уничтожении носителей, содержащих персональные данные.

 

11. Ответственность

11.1. Работники Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.