Политика обработки персональных данных
Утверждено приказом Генерального директора
№ 1-17/01ПДн от «28» апреля 2017 г.
Политика оператора в отношении обработки ПДн
Термины и определения
Для целей настоящей Политики используются следующие понятия:
Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
Обработка ПДн — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Автоматизированная обработка ПДн — обработка ПДн с помощью средств вычислительной техники.
Распространение ПДн — действия, направленные на раскрытие ПДн неопределенному кругу лиц.
Предоставление ПДн — действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
Блокирование ПДн — временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
Уничтожение ПДн — действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе персональных данных (далее – ИСПДн) и (или) в результате которых уничтожаются материальные носители ПДн.
Обезличивание ПДн — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
Информационная система персональных данных — совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача ПДн — передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Общие положения
Настоящая Политика оператора в отношении обработки персональных данных (далее — ПДн) (далее — Политика) разработана в целях выполнения норм федерального законодательства АО «Страховая компания «Выручим!» (далее — Оператор).
Политика характеризуется следующими признаками:
- Разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки ПДн субъектов ПДн.
- Раскрывает основные категории ПДн, обрабатываемых Оператором, цели, способы и принципы обработки Оператором ПДн, права и обязанности Оператора при обработке ПДн, права субъектов ПДн, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности ПДн при их обработке.
- Является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке ПДн.
Информация об операторе
Наименование: АО «Страховая компания «Выручим!».
ИНН: 6659089932.
Юридический адрес: 620026, г. Екатеринбург, ул. Белинского, 56, офис 412.
Фактический адрес: 620026, г. Екатеринбург, ул. Белинского, 56, офис 412.
Телефон/факс: (343) 379-24-38.
Реестр операторов персональных данных: https://rkn.gov.ru/personal-data/register/?id=09-0052061, Приказ № 173 от 28.05.2009.
Правовые основания обработки ПДн
Политика Оператора в области обработки ПДн, а также основание для обработки ПДн определяются в соответствии со следующими нормативными правовыми актами Российской Федерации:
- Конституцией Российской Федерации
- Трудовым кодексом Российской Федерации
- Гражданским кодексом Российской Федерации
- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»
- Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
- Федеральным законом от 27.11.1992 N 4015-1 «Об организации страхового дела в Российской Федерации».
Во исполнение настоящей Политики руководящим органом Оператора утверждены следующие локальные нормативные правовые акты:
- Положения и инструкции, регламентирующие порядок обработки и защиты персональных данных.
- Перечень обрабатываемых персональных данных.
- Перечень информационных систем персональных данных.
- Перечень подразделений и работников, допущенных к работе с персональными данными.
- Модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
- Акты классификации (определения уровня защищенности) информационных систем персональных данных.
Цели обработки ПДн
Оператор обрабатывает ПДн исключительно в следующих целях:
- ведения кадровой работы и бухгалтерского учета, выполнения условий трудового договора, обеспечения охраны труда
- осуществления страховой деятельности.
Категории обрабатываемых ПДн, источники их получения, сроки обработки и хранения
В ИСПДн Оператора обрабатываются следующие категории ПДн:
- ПДн работников, состоящих в трудовых отношениях с АО «Страховая компания «Выручим!»
- ПДн субъектов, не являющихся работниками АО «Страховая компания «Выручим!» (ПДн граждан).
Источники поступления ПДн:
- Из первичной документации, предоставляемой самими субъектами персональных данных.
Основные принципы обработки, передачи и хранения ПДн
Оператор в своей деятельности обеспечивает соблюдение принципов обработки ПДн, указанных в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Оператор не осуществляет обработку биометрических ПДн (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
Оператор не осуществляет обработку специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни
Оператор осуществляет обработку специальных категорий ПДн, касающихся состояния здоровья.
Оператор осуществляет обработку иных категорий ПДн.
Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу ПДн.
Сведения о третьих лицах, участвующих в обработке ПДн
В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов ПДн Оператор в ходе своей деятельности осуществляет информационный обмен ПДн со следующими организациями:
- страховыми медицинскими организациям
- Федеральной налоговой службой
- Пенсионным Фондом Российской Федерации
- Сбербанком России
- Лицензирующими и/или контролирующими органами государственной власти и местного самоуправления
- Центральным банком Российской Федерации.
Меры по обеспечению безопасности ПДн при их обработке
Оператор при обработке ПДн принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности ПДн достигается, в частности, следующими способами:
- назначением ответственных за организацию обработки ПДн
- осуществлением внутреннего контроля и аудита соответствия обработки ПДн Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, локальным актам
- ознакомлением работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе с требованиями к защите ПДн, локальными актами в отношении обработки ПДн и обучением указанных Работников
- определением угроз безопасности ПДн при их обработке в ИСПДн
- применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн
- оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн
- учетом машинных носителей ПДн
- выявлением фактов несанкционированного доступа к ПДн и принятием соответствующих мер
- восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним
- установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн
- контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ИСПДн.
Права субъектов персональных данных
В соответствии с № 152-ФЗ «О персональных данных» субъект персональных данных имеет право:
Получить сведения, касающиеся обработки ПДн оператором, а именно:
- подтверждение факта обработки персональных данных оператором
- правовые основания и цели обработки персональных данных
- цели и применяемые оператором способы обработки персональных данных
- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом
- сроки обработки персональных данных, в том числе сроки их хранения
- порядок осуществления субъектом персональных данных прав, предусмотренных №152-ФЗ «О персональных данных»
- информацию об осуществленной или о предполагаемой трансграничной передаче данных
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные №152-ФЗ «О персональных данных» или другими федеральными законами.
Потребовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными; устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
Заявить возражение против принятия в отношении себя решений, порождающих юридические последствия на основе исключительно автоматизированной обработки персональных данных.
Отозвать согласие на обработку персональных данных в предусмотренных законом случаях.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами РФ.
Для реализации своих прав (см. пп. 10.1.1-10.1.4.) и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Тот рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных (см.п.11.2).
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
Контроль надзор за обработкой персональных данных
Ответственным за организацию обработки и обеспечения безопасности персональных данных в АО «Страховая компания «Выручим!» является лицо, назначенное приказом Генерального Директора АО «Страховая компания «Выручим!».
Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных», является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.
Заключительные положения
Настоящая Политика утверждается Генеральным Директором АО «Страховая компания «Выручим!».
Оператор имеет право вносить изменения в настоящую Политику.
При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения и размещения на сайте Оператора, если иное не предусмотрено новой редакцией Политики.