Политика в отношении обработки и защиты персональных данных

1. Назначение и область применения

Политика в отношении обработки и защиты персональных данных АО НКБ ВС (далее — Политика) разработана на основании Федерального закона № 152-ФЗ «О персональных данных», с учетом требований Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации в области персональных данных.
Действие Политики распространяется на отношения по обработке и обеспечению безопасности информации ограниченного доступа, относящейся в соответствии с законодательством Российской Федерации к персональным данным (далее — ПДн).
Политика определяет принципы, цели, особенности и условия обработки ПДн работников АО НКБ ВС (далее — Общество) и иных субъектов, чьи ПДн обрабатываются в Обществе, а также содержит сведения о реализуемых требованиях по защите ПДн. В настоящей Политике содержатся положения об ответственности Общества и егоработников в случае выявления нарушений обработки ПДн законодательству.
Положениями настоящей Политики руководствуются все работники Общества.

2. Принципы обработки персональных данных

Обработка ПДн осуществляется в Обществе на основе следующих принципов:
- обработка ПДн осуществляется на законных основаниях;
- Общество обрабатывает только ПДн, которые отвечают целям их обработки;
- содержание и объем обрабатываемых ПДн соответствуют заявленным целям их обработки. Не допускается избыточность обрабатываемых ПДн по отношению к заявленным целям их обработки;
- при обработке ПДн обеспечиваются точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн;
- обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

 3. Цели обработки персональных данных

Общество осуществляет обработку ПДн в целях:
- обеспечения соблюдения Конституции РФ, законодательных и иных нормативных правовых актов РФ, локальных нормативных актов Общества;
- содействия соискателям в трудоустройстве, работникам в обучении и продвижении по службе, контроля количества и качества выполняемой работы;
- обеспечения социальных льгот и гарантий, личной безопасности или иных жизненно важных интересов работников и членов их семей;
- подготовки, заключения, исполнения и прекращения гражданско-правовых договоров;
- защиты прав и законных интересов Общества и их должностных лиц в судах и административных органах;
- формирования отчетности или подготовки предусмотренных в законодательстве заявлений, уведомлений и т.д. в государственные органы и службы;
- составления статистических данных и показателей;
- проведения контрольных и аудиторских проверок;
- обеспечения пропускного и внутриобъектового режимов (физических лиц и автомобилей) в административных зданиях Общества, обеспечения сохранности имущества;
- ведения корпоративных телефонных и иных информационных справочников, публикации сообщений и фотографий на официальном сайте Общества, внутрикорпоративных порталах, досках почета и в общедоступных информационных системах персональных данных, создания и изготовления визитных карточек, буклетов, листовок;
- в иных законных целях.

 4. Категории субъектов персональных данных

Субъектами, ПДн которых обрабатываются в Обществе с использованием средств автоматизации или без использования таковых, являются:
- соискатели на работу в Обществе;
- работники Общества и члены их семей (супруги и близкие родственники);
- лица, имевшие ранее трудовые отношения с Обществом;
- лица, имеющие гражданско-правовой характер договорных отношений с Обществом, или находящиеся на этапе преддоговорных или выполненных отношений подобного характера;
- лица, проходящие различного рода практику (стажировку) в Обществе;
- акционеры Общества;
- члены Совета директоров Общества, кандидаты в члены Совета директоров;
- контрагенты Общества, представленные индивидуальными предпринимателями, их работниками; участниками, руководителями, представителями (лицами, действующими на основании доверенностей) и работниками юридических лиц, имеющих или имевших договорные отношения с Обществом, либо желающих заключить договоры с Обществом;
- посетители Общества;
- иные лица, обработка ПДн которых необходима Обществу для осуществления целей, указанных в разделе 3 настоящей Политики.

5. Обработка персональных данных

В Обществе назначено лицо, ответственное за организацию обработки ПДн.
Доступ к обрабатываемым в Обществе ПДн разрешается только работникам Общества, занимающим должности, включенные в перечень должностей, допущенных к обработке ПДн.

Обработка ПДн в Обществе осуществляется:
- с согласия субъекта ПДн на обработку его ПДн;
- если обработка ПДн необходима для исполнения договора, стороной которого является субъект ПДн,
- в иных случаях, предусмотренных законодательством Российской Федерации в области ПДн.

Общество без согласия субъекта ПДн не раскрывает третьим лицам и не распространяет ПДн, если иное не предусмотрено федеральным законом.
Обработка персональных данных в Обществе осуществляется с использованием средств автоматизации, в том числе в информационных системах персональных данных, и без использования таких средств.
При автоматизированной обработке персональных данных применяется передача персональных данных по внутренней сети Оператора и с использованием информационно-телекоммуникационной сети «Интернет».
Общество не осуществляет принятие решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки ПДн.

Обработка Обществом ПДн прекращается в следующих случаях:

- достижение целей обработки ПДн;
- истечение срока обработки ПДн, предусмотренного федеральным законодательством, договором или согласием субъекта ПДн на обработку его ПДн;
- отзыв субъектом ПДн согласия на обработку его ПДн, в случаях, не противоречащих требованиям федерального законодательства.

6. Сведения о реализуемых требованиях по защите ПДн

В Обществе назначено лицо, ответственное за обеспечение безопасности ПДн и информационной системы персональных данных (далее – ИСПДн).
Общество принимает все необходимые правовые, организационные и технические меры при обработке ПДн для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн.

Обеспечение безопасности персональных данных достигается, в частности:
- изданием локальных нормативных актов по вопросам обработки и защиты персональных данных, направленных на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
- определением перечня должностей, допущенных к обработке персональных данных, передачей персональных данных внутри Общества только между сотрудниками, занимающими должности, включенные в данный перечень;
- ознакомлением под роспись работников, осуществляющих обработку персональных данных, с фактом участия в обработке персональных данных, а также с правилами обработки и защиты персональных данных, установленных нормативными правовыми актами РФ и локальными нормативными актами Общества;
- обработкой персональных данных в границах охраняемой территории, а также организацией защиты носителей персональных данных, мест хранения и средств их обработки;
- организацией ограниченного доступа в помещения, используемых для обработки персональных данных и/или хранения их материальных носителей;
- обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях, обеспечивается контроль их обращения в целях исключения утраты, хищения, подмены, несанкционированного доступа, копирования или уничтожения;
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных, разработкой, при необходимости, системы защиты персональных данных при их обработке в информационных системах персональных данных, в зависимости от уровня защищенности, и установлением правил доступа к персональным данным;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
- учетом машинных носителей персональных данных и т.д.

7. Нарушение Политики и ответственность

Общество несет ответственность за соответствие обработки и обеспечение безопасности ПДн законодательству. Все работники Общества, осуществляющие обработку ПДн, несут ответственность за соблюдение настоящей Политики и иных нормативных документов Общества по вопросам обработки и обеспечению безопасности ПДн.
Любой работник, которому стало известно о нарушении настоящей Политики или который подозревает о существовании такого нарушения, должен сообщить об этом лицу, ответственному за организацию обработки ПДн.
Любые нарушения настоящей Политики и иных нормативных документовОбщества по вопросам обработки и обеспечению безопасности ПДн будут расследоваться в соответствии с действующими в Обществе процедурами.
Лица, признанные виновными в нарушении установленных порядка и процедур обработки и обеспечения безопасности ПДн, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством Российской Федерации.