Политика ООО «Рэдиум Инвестиции» в отношении обработки персональных данных

Общие положения

Политика ООО «Рэдиум Инвестиции» в отношении обработки персональных данных (далее - Политика) определяет порядок, условия обработки персональных данных и реализацию требований по защите персональных данных в ООО «Рэдиум Инвестиции».

Законодательной основой настоящей Политики является Конституция Российской Федерации, Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных», федеральные законы, Указы Президента Российской Федерации, постановления Правительства Российской Федерации, другие нормативные правовые акты в области обработки и обеспечения безопасности персональных данных, а также руководящие документы ФСТЭК России и ФСБ России.

В настоящей Политике используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных".

Вопросы деятельности ООО «Рэдиум Инвестиции» изложены в уставе организации.

ООО «Рэдиум Инвестиции» является коммерческой организацией.

Персональные данные являются конфиденциальной информацией.

Обеспечение необходимого и достаточного уровня безопасности персональных данных и другой конфиденциальной информации является важнейшим условием деятельности ООО «Рэдиум Инвестиции».

Принципы обработки персональных данных

Обработка персональных данных осуществляется ООО «Рэдиум Инвестиции» на законной и справедливой основе.

При обработке персональных данных ООО «Рэдиум Инвестиции» соблюдаются следующие принципы:

  • обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей; не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

  • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

  • обработке подлежат только персональные данные, которые отвечают целям их обработки;

  • содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки; не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;

  • при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных; принимаются необходимые меры по удалению или уточнению неполных или неточных данных;

  • хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Сроки хранения документов, в том числе электронных документов, содержащих персональные данные, определены внешними и внутренними нормативными документами ООО «Рэдиум Инвестиции». Порядок уничтожения документов, содержащих персональные данные, установлен Инструкцией по делопроизводству.

Обработка персональных данных и реализация требований по защите персональных данных

С целью осуществления своих полномочий ООО «Рэдиум Инвестиции» обрабатывает персональные данные следующих субъектов:

  • работников, заключивших трудовой договор с ООО «Рэдиум Инвестиции», а также их близких родственников;

  • физических лиц, участвующих в конкурсе на замещение вакантных должностей;

  • индивидуальных предпринимателей и физических лиц, являющихся клиентами ООО «Рэдиум Инвестиции»;

  • индивидуальных предпринимателей и физических лица - провайдеров хостинга, оказывающих услуги по предоставлению вычислительной мощности и для размещения информации в информационной системе, постоянно подключенной к сети Интернет.

С помощью интернет-сервиса «Яндекс.Метрика» собираются персональные данные:

  • персональная информация, предоставленная пользователем при регистрации (создании учетной записи), электронная почта;

  • электронные данные (HTTP-заголовки, IP-адрес, файлы cookie, веб-маяки/пиксельные теги, данные об идентификаторе браузера, информация об аппаратном и программном обеспечении, данные сети wi-fi);

  • дата и время осуществления доступа к Сайтам и/или Сервисам;

  • информация об активности во время использования Сайтов и/или Сервисов (например, история поисковых запросов, данные о покупках в Сервисах, данные о посещенных организациях, лайки и предпочтения, адреса электронной почты тех, с кем Вы ведете переписку, данные телефонной книги, информация о взаимодействии с другими пользователями, а также файлы и контент, хранящиеся в системах Яндекса);

  • информация о геолокации.

С целью обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами ООО «Рэдиум Инвестиции» приняты следующие меры:

  • приняты правовые, организационные и технические меры, установленные законодательством Российской Федерации в области персональных данных, по обеспечению безопасности обрабатываемых персональных данных;

  • назначено лицо, ответственное за организацию обработки персональных данных;

  • приказом руководителя Управления Роскомнадзора по Омской области утверждены следующие документы:

  • правила обработки персональных данных;

  • правила рассмотрения запросов субъектов персональных данных или их представителей;

  • правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами ООО «Рэдиум Инвестиции»;

  • правила работы с обезличенными персональными данными ООО «Рэдиум Инвестиции»;

  • перечень информационных систем персональных данных ООО «Рэдиум Инвестиции»;

  • перечень персональных данных, обрабатываемых в ООО «Рэдиум Инвестиции» в связи с реализацией трудовых отношений;

  • должностная инструкция ответственного за организацию обработки персональных данных в ООО «Рэдиум Инвестиции»;

  • типовое обязательство сотрудника ООО «Рэдиум Инвестиции», непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним государственного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;

  • типовая форма согласия на обработку персональных данных работников ООО «Рэдиум Инвестиции», иных субъектов персональных данных;

  • порядок доступа сотрудников ООО «Рэдиум Инвестиции» в помещения, в которых ведется обработка персональных данных;

  • типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные в ООО «Рэдиум Инвестиции»;

  • список сотрудников ООО «Рэдиум Инвестиции», ответственных за обеспечение безопасности персональных данных и сохранность носителей персональных данных в служебных помещениях;

  • список сотрудников ООО «Рэдиум Инвестиции», допущенных к обработке персональных данных;

  • инструкции администратору безопасности информации и пользователям;

  • выполнены требования по обработке персональных данных, осуществляемой без использования средств автоматизации;

  • с целью осуществления внутреннего контроля за соответствием обработки персональных данных обязательным требованиям в ООО «Рэдиум Инвестиции» организовано проведение периодических проверок условий обработки персональных данных.

В ООО «Рэдиум Инвестиции» разработана частная модель угроз безопасности персональных данных, на основании которой выполнено построение системы защиты персональных данных. При этом, использовались следующие основные принципы построения системы безопасности персональных данных:

  • законность;

  • системность,

  • комплексный подход;

  • непрерывность защиты;

  • своевременность;

  • преемственность и совершенствование;

  • разумная достаточность (экономическая целесообразность);

  • минимизация полномочий;

  • персональная ответственность;

  • гибкость системы защиты;

  • применение только сертифицированных средств защиты информации;

  • обоснованность и реализуемость;

  • специализация и профессионализм обслуживающего персонала;

  • обязательность контроля.

Объектами защиты являются:

  • персональные данные, обрабатываемые и хранящиеся на серверах, на автоматизированных рабочих местах пользователей (далее - АРМ), на отчуждаемых (съемных) носителях информации, на выносных терминалах, мониторах, в средствах звукозаписи, звуковоспроизведения;

  • персональные данные, передаваемые по каналам и линиям связи;

  • персональные данные, хранящиеся в документированном виде на бумажных носителях;

  • прикладное и системное программное обеспечение серверов, АРМ, используемых для обработки персональных данных;

  • аппаратные средства программно-технических комплексов, оборудование серверов, АРМ, коммуникационное оборудование;

  • средства защиты информации информационных систем персональных данных;

  • съемные (отчуждаемые) машинные носители информации - накопители на гибких и жестких магнитных дисках, Flash-накопители, оптические диски (CD-R, CD-RW, DVD-R, DVD-RW), аудио-, видеокассеты, магнитные ленты и т.д.

Аттестованы автоматизированные рабочие места и служебные помещения бухгалтерии и кадров, в которых ведется обработка персональных данных.

Здание и служебные помещения ООО «Рэдиум Инвестиции» находятся под охраной. Доступ посетителей в служебные помещения ООО «Рэдиум Инвестиции», в которых ведется обработка персональных данных, разрешен только после регистрации в книге учета посетителей, находящейся у охранника.

Компоненты информационных систем персональных данных ООО «Рэдиум Инвестиции» размещаются в помещениях, находящихся под охраной и наблюдением, исключающим возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающим физическую сохранность находящихся в помещении защищаемых ресурсов (документов, АРМ и т.д.).  По окончании рабочего дня служебные помещения сдаются под охрану в соответствии с приказом руководителя.

Заключительные положения

Ответственность лиц ООО «Рэдиум Инвестиции», допущенных к обработке персональных данных, за невыполнение обязательных требований определяется в соответствии с законодательством Российской Федерации и локальными актами в области обработки персональных данных.