Политика защиты и обработки персональных данных

1.  Настоящая Политика в отношении защиты и обработки персональных данных (далее – Политика) составлена в соответствии с пунктом 2 статьи 18.1 Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 г., а также иными нормативными правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – данные), которые ООО «Информационные сети» (далее – Оператор, Общество) может получить от субъекта персональных данных, являющегося стороной по гражданско-правовому договору, от пользователя сети Интернет и Транспортной платежной системы (далее – Пользователь) во время использования им любого из сайтов, сервисов, служб, программ, продуктов или услуг ООО «Информационные сети», а также от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее – Работник).

2. Цель разработки Политики:

• определение порядка обработки персональных данных работников Организации и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий оператора;
• обеспечение защиты прав и свобод человека и гражданина, в т.ч., работника Организации и пользователя Транспортной платежной системы (далее – ТПС), при обработке их персональных данных, в том числе, защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
  

3. Порядок ввода в действие и изменения Политики:

• настоящая Политика вступает в силу с момента его утверждения генеральным директором Организации и действует бессрочно, до замены его новой редакцией.
• все изменения в Политику вносятся приказом.
  
• все работники Организации и пользователи ТПС должны быть ознакомлены с настоящим Положением под роспись.
  

4. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии Организации, если иное не определено законом.

5. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Для целей настоящего Положения используются следующие основные понятия:

• субъект персональных данных (далее Субъект) – работники Организации, физические лица, пассажиры общественного и других видов транспорта, пассажиры приобретающие билеты, другие пользователи ТПС, пользователи мобильного приложения gorodpay и посетители сайта www.gorodpay.ru;
• персональные данные субъекта персональных данных - любая информация, относящаяся к определенному или определяемому на основании такой информации работнику, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая работодателю в связи с трудовыми отношениями и необходимая для пользования ТПС;
  
• Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является ООО «Информационные сети», расположенное по адресу: 117418, Москва, ул. Новочерёмушкинская, д. 63.
  
• транспортная платежная система (ТПС) – универсальная автоматизированная система для обеспечения банковского эквайринга и эмиссии на пассажирском транспорте общего пользования, разработанная и реализуемая ООО «Информационные сети»;
  
• обработка персональных данных - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе, передача), обезличивание, блокирование, уничтожение персональных данных работников Организации и пользователей ТПС;
  
• конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным работников и пользователей ТПС, требование не допускать их распространения без согласия субъектов персональных данных или иного законного основания;
  
• распространение персональных данных - действия, направленные на передачу персональных данных субъектов персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе, обнародование персональных данных субъектов в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным субъектов каким-либо иным способом;
  
• использование персональных данных - действия (операции) с персональными данными, совершаемые должностным лицом Организации в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
  
• блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных субъектов, в том числе их передачи;
  
• уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных субъектов или в результате которых уничтожаются материальные носители персональных данных субъектов;
  
• обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту;
  
• общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
  
• информация - сведения (сообщения, данные) независимо от формы их представления;
  
• документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
  

Получение персональных данных

• Все персональные данные следует получать от самого субъекта. Если персональные данные субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.
• Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных, перечне действий с персональными данными, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.

Документы, содержащие персональные данные, создаются путем

• копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);
• внесения сведений в учетные формы;
  
• получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).
  

Обработка персональных данных

• с согласия субъекта персональных данных на обработку его персональных данных;
• в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;
  
• в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных).
  

Цели обработки персональных данных

• осуществление трудовых отношений;
• осуществление гражданско-правовых отношений;
  
• для связи с пользователем, в связи с заполнением формы обратной связи на сайте, в том числе направление уведомлений, запросов и информации, касающихся использования сайта магазина, обработки, согласования заказов и их доставки, исполнения соглашений и договоров;
  
• обезличивания персональных данных для получения обезличенных статистических данных, которые передаются третьему лицу для проведения исследований, выполнения работ или оказания услуг по поручению магазина.
  
• Категории субъектов персональных данных.
  

Обрабатываются персональные данные следующих субъектов персональных данных

• физические лица, состоящие с Обществом в трудовых отношениях;
• физические лица, уволившиеся из Общества;
  
• физические лица, являющиеся кандидатами на работу;
  
• физические лица, состоящие с Обществом в гражданско-правовых отношениях;
  
• физические лица, являющиеся Пользователями Сайта www.gorodpay.ru;
  
• физические лица, пассажиры общественного и других видов транспорта, пассажиры приобретающие билеты, другие пользователи ТПС, посетители сайта и пользователи мобильного приложения.
  

Персональные данные, обрабатываемые Оператором

• данные, полученные при осуществлении трудовых отношений;
• данные, полученные для осуществления отбора кандидатов на работу;
  
• данные, полученные при осуществлении гражданско-правовых отношений;
  
• данные, полученные от Пользователей ТПС.
  

Обработка персональных данных ведется

• с использованием средств автоматизации;
• без использования средств автоматизации.
  
• Хранение персональных данных.
  

Хранение персональных данных

• Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
• Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
  
• Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
  
• Не допускается хранение и размещение документов, содержащих персональных данных, в открытых электронных каталогах (файлообменниках) в ИСПД.
  
• Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
  

Уничтожение персональных данных

• Уничтожение документов (носителей), содержащих персональных данных, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
• Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
  
• Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей.
  

Передача персональных данных

• оператор передает персональные данные третьим лицам в следующих случаях:
• субъект выразил свое согласие на такие действия;
  
• передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.
  
• перечень лиц, которым передаются персональные данные.
  
• пенсионный фонд РФ для учета (на законных основаниях);
  
• налоговые органы РФ (на законных основаниях);
  
• фонд социального страхования РФ (на законных основаниях);
  
• территориальный фонд обязательного медицинского страхования (на законных основаниях);
  
• страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);
  
• банки для начисления заработной платы (на основании договора);
  
• органы МВД России в случаях, установленных законодательством;
  
• обезличенные персональные данные Пользователей передаются организациям, поддерживающим функционирование ТПС.
  

• В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
• Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
  
• Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
  
• Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.
  

1. Основными мерами защиты персональных данных, используемыми Оператором, являются:

• назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите персональных данных.
• определение актуальных угроз безопасности персональных данных при их обработке в ИСПД и разработка мер и мероприятий по защите персональных данных.
  
• разработка настоящей политики в отношении обработки персональных данных.
  
• установление правил доступа к персональным данным, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в ИСПД.
  
• установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.
  
• применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
  
• сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
  
• соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.
  
• обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
  
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
  
• обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.
  
• осуществление внутреннего контроля и аудита.
  

Субъект имеет право на доступ к его персональным данным и следующим сведениям:

• подтверждение факта обработки персональных данных Оператором;
• правовые основания и цели обработки персональных данных;
  
• цели и применяемые Оператором способы обработки персональных данных;
  
• наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональных данных или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
  
• сроки обработки персональных данных, в том числе сроки их хранения;
  
• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
  
• наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
  
• обращение к Оператору и направление ему запросов;
  
• обжалование действий или бездействия Оператора.
  

Обязанности Оператора:

• при сборе персональных данных предоставить информацию об обработке персональных данных;
• в случаях если персональные данные были получены не от субъекта персональных данных, уведомить субъекта;
  
• при отказе в предоставлении персональных данных субъекту разъясняются последствия такого отказа;
  
• опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
  
• принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
  
• давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных