8-800-555-44-84

ПОЛИТИКА БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ И РАБОТНИКОВ

ПОЛИТИКА БЕЗОПАСНОСТИ  
ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ И РАБОТНИКОВ  

ООО «Диджитал Лоялти Систем»  

(утверждена «09» ноября 2015 г.) 

 

Общая часть 

 

  1. Настоящая Политика определяет порядок создания, обработки и защиты персональных данных клиентов и работников ООО «ДЛС» (далее – Общество-оператор). 

  1. Основанием для разработки данного локального нормативного акта являются:  

  • Конституция Российской Федерации от 12 декабря 1993 г. (ст. ст. 2, 17-24, 41);  

  • часть 2 Гражданского кодекса Российской Федерации; 

  • глава 14 (ст. 86-90) Трудового кодекса Российской Федерации; 

  • Федеральный закон Российской Федерации от 23 августа 1996 г. № 127-ФЗ «О науке и государственной научно-технической политике»; 

  • Федеральный закон Российской Федерации от 08 февраля 1998 г. № 14-ФЗ «Об обществах с ограниченной ответственностью»; 

  • Федеральный закон Российской Федерации от 02 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»; 

  • Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; 

  • Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; 

  • Указ Президента Российской Федерации от 06 марта 1997 г. № 188 (ред. от 23 сентября 2005 г.) «Об утверждении перечня сведений конфиденциального характера»; 

  • Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;  

  • Постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; 

  • Регламентирующие документы ФСТЭК и ФСБ России об обеспечении безопасности персональных данных: 

  • Приказ ФСТЭК от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»; 

  • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (Выписка) (утв. ФСТЭК РФ 15.02.2008 г.); 

  • Приказ ФСБ РФ от 10 июля 2014 г. № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством российской федерации требований к защите персональных данных для каждого из уровней защищенности»; 

  • Устав ООО «ДЛС»; 

  • Приказы генерального директора Общества-оператора «О защите персональных данных клиентов ООО «ДЛС», «О защите персональных данных работников ООО «ДЛС». 

  1. Целью настоящей Политики является определение порядка обработки персональных данных клиентов Общества-оператора, а так же лиц, работающих по трудовым договорам и гражданско-правовым договорам (далее - работников) Общества-оператора, согласно Перечню персональных данных, утвержденному Приказом генерального директораобеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным клиентов и работников Общества-оператора, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных. 

  1. Персональные данные клиентов относятся к категории конфиденциальной информации. Конфиденциальность, сохранность и защита персональных данных обеспечиваются отнесением их к сфере негосударственной тайны. 

 

2 Основные понятия, используемые в настоящей Политике 

 

Для целей настоящей Политики применяются следующие термины и определения: 

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. 

Клиенты (субъекты персональных данных)  физические или юридические лица, состоящие в договорных и иных гражданско-правовых отношениях с Организацией-оператором с целью участия в работе электронной платежной системы для управления процессом розничной торговли с использованием существующей банковской инфраструктуры, а также других инновационных проектов. 

Работники (субъекты персональных данных) - физические лица, состоящие, а также готовящиеся вступить в трудовые и иные гражданско-правовые отношения с Обществом-оператором. 

Документы, содержащие персональные данные клиентов  документынеобходимые Обществу-оператору для оказания услуг конкретному субъекту персональных данных при работе с электронной платежной системой и другими инновационными проектами. 

Документы, содержащие персональные данные работника - документы, которые работник предоставляет Обществу-оператору (работодателю) в связи с трудовыми отношениями и касающиеся конкретного работника (субъекта персональных данных), а также другие документы, содержащие сведения, предназначенные для использования в служебных целях.  

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому субъекту персональных данных. 

Обработка персональных данных клиента или работника - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных клиента или работника. 

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц. 

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. 

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. 

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). 

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. 

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники. 

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. 

Конфиденциальность персональных данных - операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством. 

Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных. 

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с Федеральным законодательством не распространяется требование соблюдения конфиденциальности. 

 

 

3 Общие принципы и условия обработки персональных данных клиентов и работников 

 

  1. Обработка персональных данных клиентов и работников осуществляется на основе принципов: 

  1. Обработка персональных данных должна осуществляться на законной и справедливой основе. 

  1. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. 

  1. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. 

  1. Обработке подлежат только персональные данные, которые отвечают целям их обработки. 

  1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. 

  1. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Общество-оператор должно принимать необходимые меры, либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных. 

  1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом № 152-ФЗ, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законодательством. 

  1. В целях обеспечения прав и свобод человека и гражданина, Общество-оператор и его представители при обработке персональных данных клиентов или работников обязаны соблюдать следующие общие требования: 

  1. Обработка персональных данных клиента может осуществляться исключительно в целях оформления и исполнения договорных и иных гражданско-правовых отношений в соответствии с законодательством Российской Федерации в области персональных данных, а также поддержания работы электронной платежной системы для управления процессом розничной покупки. 

  1. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законодательства Российской Федерации в области персональных данных и иных нормативных правовых актов с учетом положений Федерального закона № 152-ФЗ «О персональных данных», оформления трудовых отношений, расчета и выдачи заработной платы или других доходов, налоговых и пенсионных отчислений, содействия работникам в трудоустройстве, обучении, повышении квалификации и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества работодателя, в соответствии с законодательством Российской Федерации в области персональных данных. 

  1. Все персональные данные клиента следует получать у него самого или у его полномочного представителя. Все персональные данные работника работодатель должен получать у него самого. Если персональные данные клиента или работника, возможно, получить только у третьей стороны, то клиент или работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. 

  1. При определении объема и содержания, обрабатываемых персональных данных клиента или работника, Общество-оператор должно руководствоваться Конституцией Российской Федерации, Трудовым кодексом, законодательством РФ в сфере защиты персональных данных и обработки информации, Уставом Общества-оператора и иными Федеральными законами и локальными нормативными актами в области защиты персональных данных.  

  1. Общество-оператор не имеет права получать и обрабатывать персональные данные клиента или работника, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ. 

  1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении клиента или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ. 

  1. Решение, порождающее юридические последствия в отношении клиента, или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме клиента, или в случаях, предусмотренных Федеральным законодательством, устанавливающим также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных. 

  1. Общество-оператор (работодатель) обязан(о) разъяснить клиенту порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты клиентом своих прав и законных интересов. 

  1. Общество-оператор обязано рассмотреть возражение в течение тридцати дней со дня его получения и уведомить клиента о результатах рассмотрения такого возражения. 

  1. Защита персональных данных клиентов и работников от неправомерного их использования или утраты должна быть обеспечена Обществом-оператором за счет своих средств, в порядке, установленном Федеральным законод

Loading26
наверх