Положение в отношении обработки персональных данных
Электронная версия выдержки из Положения в отношении обработки и защиты персональных данных, утвержденного решением Правления ООО «Магистраль северной столицы» (далее — Общество) (в части вопросов обработки Обществом персональных данных клиентов Общества и иных субъектов персональных данных, не являющихся работниками Общества или посетителями территорий и объектов Общества)
ПОЛОЖЕНИЕ
В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ
РАЗДЕЛ I. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящее Положение в отношении обработки и защиты персональных данных (далее Положение) утверждено в ООО «Магистраль северной столицы» (далее Общество) во исполнение положений пункта 2 части 1 и части 2 статьи 18.1 Федерального закона от 27.07.2006 № 152ФЗ «О персональных данных» (далее — Закон о персональных данных).
Настоящее Положение является основополагающим локальным нормативным актом Общества в сфере обработки и защиты персональных данных и определяет основы деятельности Общества в указанной сфере.
Целью настоящего Положения является обеспечение в соответствии с требованиями законодательства Российской Федерации соблюдения прав человека (субъекта персональных данных) при обработке его персональных данных в информационных системах Общества, конфиденциальности указанных данных и защиты указанных информационных систем персональных данных от реализации присущих им угроз.
Настоящее Положение распространяется на случаи обработки персональных данных, полученных Обществом как до, так и после утверждения Положения, за исключением случаев, когда по причинам правового, организационного и иного характера Положение не может быть распространено на случаи обработки персональных данных, полученных до его утверждения.
Настоящее Положение является обязательным для всех структурных подразделений и работников Общества.
РАЗДЕЛ II. СЛУЧАИ, ОСНОВАНИЯ, ЦЕЛИ ОБРАБОТКИ, СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ПЕРЕЧЕНЬ ОПЕРАЦИЙ ПО ИХ ОБРАБОТКЕ И СРОКИ ОБРАБОТКИ
§ 2.1. Персональные данные клиентов Общества и иных субъектов персональных данных, выступающих от имени клиентов Общества
5.1.Случаи обработки персональных данных
5.1.1. Общество обрабатывает персональные данные субъектов этих данных в связи с их обращением к Обществу (в том числе, как к лицу, действующему от имени Акционерной компании «Западный скоростной диаметр», являющейся в соответствии с Законом о персональных данных оператором), как лично, так и через представителя по доверенности, о необходимости заключения с ними договора, предусматривающего оказание, в том числе, услуг по организации проезда по платным участкам автомобильной дороги «Западный скоростной диаметр», подлежащего исполнению в соответствии с Правилами оказания услуг по организации проезда по платным участкам автомобильной дороги «Западный скоростной диаметр», утвержденными Акционерным обществом «Западный скоростной диаметр» (далее Договор на оказание услуг).
5.1.2.Общество обрабатывает персональные данные субъектов этих данных, выступающих представителями по доверенности и действующих от имени, как иного субъекта персональных данных, так и от имени юридического лица, обратившихся в Общество в целях заключения с представляемыми ими лицами Договора на оказание услуг.
5.1.3. Общество обрабатывает персональные данные субъектов этих данных, являющихся стороной Договора на оказание услуг, в связи с исполнением Обществом обязанностей, возложенных данным Договором на исполнителя услуг, в период действия Договора на оказание услуг.
5.1.4. Общество обрабатывает персональные данные представителей по доверенности, выступавших от имени лиц, с которыми заключен Договор на оказание услуг, в связи с исполнением Обществом своих обязанностей по указанному Договору в период его действия.
5.1.5. Общество обрабатывает персональные данные субъектов этих данных, ранее являвшихся стороной Договора на оказание услуг, после прекращения действия указанного Договора.
5.1.6. Общество осуществляет обработку персональных данных представителей по доверенности, заключивших Договор на оказание услуг от имени иного лица (как юридического лица, так и иного субъекта персональных данных), после прекращения действия указанного Договора.
5.2.Основания обработки персональных данных
5.2.1.Обработка персональных данных в случаях, указанных в пунктах 2.1.1.1 и 2.1.1.2 Положения, осуществляется по инициативе субъекта персональных данных, обратившегося для заключения Договора на оказание услуг. На основании пункта 5 части 1 статьи 6 Закона о персональных данных для обработки персональных данных самим оператором в указанных случаях согласие субъекта персональных данных не требуется. В указанных случаях, если Общество действует по поручению иного юридического лица, признаваемого в соответствии с Законом о персональных данных оператором, обработка Обществом персональных данных осуществляется на основании согласия субъекта персональных данных на обработку Обществом его персональных данных по поручению соответствующего оператора.
5.2.2.Обработка персональных данных в случаях, указанных в пунктах 2.1.1.3, 2.1.1.4 и 2.1.1.5 Положения, осуществляется в связи с необходимостью исполнения Договора на оказание услуг, стороной которого является субъект указанных персональных данных, и обязанностей сторон, вытекающих из указанного Договора, в том числе обусловленных прекращением действия этого Договора. На основании пункта 5 части 1 статьи 6 Закона о персональных данных для обработки персональных данных самим оператором в указанных случаях согласие субъекта этих данных не требуется. В указанных случаях, если Общество действует по поручению юридического лица, признаваемого в соответствии с Законом о персональных данных оператором, обработка Обществом персональных данных осуществляется на основании согласия субъекта персональных данных на обработку Обществом его персональных данных по поручению соответствующего оператора.
5.3.Цели обработки
5.3.1.Обработка персональных данных субъектов этих данных в случаях, указанных в пунктах 2.1.1.1 и 2.1.1.2 Положения, осуществляется в целях заключения с субъектом персональных данных либо юридическим лицом Договора на оказание услуг.
5.3.2.Обработка персональных данных субъектов персональных данных в случаях, указанных в пункте 2.1.1.3 и 2.1.1.4 Положения, осуществляется в целях исполнения Обществом заключенного с субъектом персональных данных Договора на оказание услуг.
5.3.3.Обработка персональных данных в случае, указанном в пункте 2.1.1.5 Положения, осуществляется в целях исполнения обязанностей Общества и субъекта персональных данных, подлежащих исполнению после прекращения действия Договора на оказание услуг.
5.4.Состав персональных данных
5.4.1.В случаях, указанных в пунктах 2.1.1.1 — 2.1.1.6 Положения, Общество обрабатывает персональные данные в следующем составе: фамилия, имя, отчество; число, месяц и год рождения; наименование документа, удостоверяющего личность, серия и номер указанного документа, дата его выдачи, орган выдавший документ; адрес регистрации по месту жительства; адрес фактического проживания; абонентский номер подвижной радиотелефонной связи; адрес электронной почты; государственный регистрационный знак транспортного средства, на котором будет установлен транспондер, предусмотренный Правилами оказания услуг по организации проезда по платным участкам автомобильной дороги «Западный скоростной диаметр», утвержденными Акционерным обществом «Западный скоростной диаметр».
5.5.Перечень операций по обработке персональных данных 5.5.1.В случаях, указанных в пунктах 2.1.1.1 и 2.1.1.2 Положения, Общество осуществляет следующие операции по обработке персональных данных: сбор, запись, систематизация, хранение, использование, обезличивание, удаление, уничтожение.
5.5.2.В случаях, указанных в пунктах 2.1.1.3 и 2.1.1.4 Положения, Общество осуществляет следующие операции по обработке персональных данных: систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, предоставление, доступ, обезличивание, удаление, уничтожение.
5.5.3.В случаях, указанных в пунктах 2.1.1.5 и 2.1.1.6 Положения, Общество осуществляет следующие операции по обработке персональных данных: хранение, извлечение, использование, предоставление, доступ, обезличивание, удаление, уничтожение.
5.6.Сроки обработки персональных данных
5.6.1.В случаях, указанных в пункте 2.1.1.1 и 2.1.1.2 Положения, персональные данные обрабатываются до даты заключения Договора на оказание услуг.
5.6.2.В случаях, указанных в пунктах 2.1.1.3 — 2.1.1.4 Положения, персональные данные обрабатываются в течение всего срока действия Договора на оказание услуг.
5.6.3.В случаях, указанных в пунктах 2.1.1.5 и 2.1.1.6 Положения, персональные данные обрабатываются в течение периода с даты прекращения действия Договора на оказание услуг и до даты исполнения в полном объеме всех обязанностей сторонами указанного Договора, но не позднее последней даты пятилетнего периода, начинающего течение с даты прекращения действия Договора, при условии, что какой-либо стороной Договора не был подан иск в суд до указанной даты. В случае, если был подан иск срок обработки персональных данных продлевается на срок рассмотрения данного иска в суде первой инстанции, а также в вышестоящих судебных инстанциях.
§ 2.2. Персональные данные работников Общества
...
§ 2.3. Персональные данные посетителей охраняемых территорий и объектов Общества
...
§ 2.4. Персональные данные иных субъектов персональных данных
5.1.Случаи обработки персональных данных
5.1.1.Общество обрабатывает в случаях, не указанных в пунктах 2.1.1, 2.2.1 и 2.3.1 настоящего Положения, персональные данные, сообщенные Обществу субъектами этих данных посредством: заполнения «Формы обратной связи» на странице «Контакты» сайта в сети Интернет по адресу: http://www.nch-spb.com/contacts/ (далее — Сервис «Форма обратной связи»); направления электронного письма на адрес электронной почты: info@nch-spb.com; направления электронного сообщения с использование страниц групп в социальных сетях, ссылки на которые имеются на указанном сайте в сети Интернет; направления письма почтой России или курьерской службой в адрес места нахождения Общества, ООО «Оператор скоростных автомагистралей — Север» или Акционерного общества «Западный скоростной диаметр»; либо представления сообщения на бумажном носителе, содержащего такие персональные данные, через офис продаж, сведения о котором размещены на указанном сайте в сети Интернет (вне зависимости от формы сообщения, направленного субъектом персональных данных).
5.2.Основания обработки персональных данных
5.2.1.Персональные данные, указанные в пункте 2.4.1.1 Положения, обрабатываются в соответствии с пунктом 1 части 1 статьи 6 Закона о персональных данных на основании согласия субъекта персональных данных.
В указанных случаях, за исключением случая направления сообщения посредством Сервиса «Форма обратной связи», субъект персональных данных дает согласие на обработку его персональных данных посредством совершения действий по указанию в сообщении своих персональных данных, позволяющих его идентифицировать, и направлению данного сообщения от своего имени в адрес Общества и (или) указанных в пункте 2.4.1.1 Положения лиц. В этом случае факт получения согласия субъекта персональных данных подтверждается получением Обществом и (или) указанными в пункте 2.4.1.1 Положения лицами сообщения, отправителем которого является субъект персональных данных, чьи персональные данные указаны в этом сообщении.
В случае направления сообщения посредством Сервиса «Форма обратной связи» субъект персональных данных дает согласие на обработку его персональных данных посредством совершения действий по внесению в обязательные для заполнения поля Сервиса «Форма обратной связи» своих персональных данных и направлению данного сообщения в адрес Общества. В этом случае факт получения согласия субъекта персональных данных подтверждается получением Обществом указанного сообщения, содержащего персональные данные субъекта персональных данных, позволяющие его идентифицировать.
В случае, если Общество не является непосредственным получателем сообщения, предусмотренного пунктом 2.4.1.1 Положения, посредством совершения указанных выше действий субъект персональных данных также дает согласие на обработку его персональных данных Обществом по поручению лица, указанного в пункте 2.4.1.1 Положения и являющегося непосредственным получателем данного сообщения.
5.3.Цели обработки персональных данных
5.3.1.Персональные данные, указанные в пункте 2.4.1.1 Положения, обрабатываются в целях анализа содержания сообщения (письма, жалобы, заявления и т.д.) и подготовки на него ответа.
5.4.Состав персональных данных
5.4.1.В случае, указанном в пункте 2.4.1.1 Положения, обработке подлежат следующие персональные данные: фамилия, имя, отчество; иные персональные данные, сообщенные субъектом персональных данных по своему усмотрению в тексте сообщения либо в целях направления данного сообщения (в том числе, сведения на конвертах почтовых отправлений и т.д.).
В случае, указанном в пункте 2.4.1.1 Положения, когда сообщение было направлено посредством Сервиса «Форма обратной связи», персональные данные обрабатываются в следующем составе: фамилия, имя, отчество; адрес электронной почты; абонентский номер подвижной телефонной связи или абонентский номер стационарной связи; иные персональные данные, сообщенные субъектом персональных данных по своему усмотрению в поле «Ваш вопрос» Сервиса «Форма обратной связи».
5.5.Перечень операций по обработке персональных данных
5.5.1.В случае, указанном в пункте 2.4.1.1 Положения, Общество осуществляет следующие операции по обработке персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, обезличивание, удаление, уничтожение.
5.6.Срок обработки персональных данных
5.6.1.Персональные данные, указанные в пункте 2.4.1.1 Положения, подлежат обработке в период подготовки Обществом ответа на направленное субъектом персональных данных сообщение, а также в течение пяти лет, следующих за датой направления в адрес субъекта персональных данных указанного ответа, при условии, что каким-либо лицом до указанной даты не был подан иск в суд в связи или с использованием сведений, указанных в сообщении, или в ответе на данное сообщение. В случае, если был подан иск срок обработки персональных данных продлевается на срок рассмотрения данного иска в суде первой инстанции, а также в вышестоящих судебных инстанциях.
Раздел III. Принципы обработки персональных данных и обеспечения их защиты
§ 3.1. Общие принципы
Во всех случаях в Обществе при обработке персональных данных подлежат соблюдению следующие принципы:
5.1.1. операции по обработке персональных данных осуществляются на законной основе;
5.1.2.обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
5.1.3.не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
5.1.4.не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
5.1.5.обработке подлежат только персональные данные, которые отвечают целям их обработки;
5.1.6.содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки;
5.1.7.обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
5.1.8.персональные данные должны быть точными, достаточными, а в необходимых случаях и актуальными по отношению к целям обработки персональных данных;
5.1.9.персональные данные подлежат хранению в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
5.1.10. по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, персональные данные подлежат уничтожению либо обезличиванию;
5.1.11. передача персональных данных стороннему для Общества лицу допустимо только с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Передача осуществляется на основании договора, существенными условиями которого являются: поручение данному лицу осуществлять обработку персональных данных; обязанность данного лица соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных; перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных; цели обработки; обязанность данного лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке; требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Закона о персональных данных;
5.1.12. в Обществе не подлежат обработке, в том числе сбору, специальные категории персональные данных, в том числе персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философский убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных пунктом 2.2.4.5 Положения.
3.1.2. Персональные данные, обрабатываемые Обществом, являются конфиденциальной информацией. Работникам Общества запрещено предоставлять третьим лицам и распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации и (или) настоящим Положением.
В Обществе осуществляется на постоянной основе управление рисками в сфере безопасности персональных данных. В указанной сфере Общество стремится следовать лучшим мировыми практикам и национальным стандартам, принятым в Российской Федерации.
В Обществе создано структурное подразделение, ответственное за обеспечение соблюдения в Обществе требований законодательства Российской Федерации к обработке и защите персональных данных.
В Обществе не допускается создание и размещение баз персональных данных за пределами территории Российской Федерации.
В Обществе осуществляется обработка персональных данных как с использованием средств автоматизации, так и без их использования.
В Обществе реализуется и на постоянной основе совершенствуется система защиты информационных систем персональных данных, которая включает в себя меры организационной, правовой, технической и физической защиты информационных систем персональных данных.
Система защиты информационных систем персональных данных реализуется в Обществе в целях обеспечения конфиденциальности, целостности и доступности персональных данных.
Реализуемая в Обществе система защиты информационных систем персональных данных учитывает факторы и условия, влияющие на безопасность персональных данных, уязвимости информационных систем и свойственные им угрозы.
5.10.При эксплуатации в Обществе информационных систем персональных данных обеспечивается законодательно установленный обязательный уровень защищенности, соответствующий типам угроз, присущим данным информационным системам.
5.11.В Обществе на постоянной основе выявляются актуальные угрозы безопасности информационных систем персональных данных и принимаются соответствующие компенсационные меры.
5.12.Реализуемая в Обществе система защиты информационных систем персональных данных основывается на принципе гибкости, что позволяет оперативно принимать компенсационные меры защиты, соответствующие новым угрозам безопасности.
5.13.Реализуемая в Обществе система защиты персональных данных направлена на предотвращение несанкционированного доступа к персональным данным, их утечки по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных, недопущения передачи персональных данных лицам, не имеющим соответствующего доступа, своевременное обнаружение фактов несанкционированного доступа и утечки информации, обеспечение восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним, устранение последствий, осуществление постоянного контроля за обеспечением надлежащего уровня защищенности информационных систем.
5.14.В Обществе подлежит проведению периодический аудит системы защиты, в результате которого делается оценка эффективности системы защиты и реализуемых в рамках нее мероприятий.
5.15.Трансграничная передача персональных данных (в том числе посредством предоставления доступа к информационным системам персональных данных Общества) на территорию иностранного государства допускается в Обществе только при условии, что подтвержден факт обеспечения на территории указанного государства адекватной защиты прав субъектов персональных данных в соответствии со статьей 12 Закона о персональных данных. Трансграничная передача Обществом персональных данных может осуществляться без соблюдения предусмотренного настоящим пунктом правила в случаях, указанных в пункте 4 статьи 12 Закона о персональных данных.
5.16.В Обществе подлежат учету все субъекты доступа к персональным данным.
Доступ к персональным данным работникам Общества предоставляется на основании утвержденных локальных актов Общества, положений о соответствующих структурных подразделениях и (или) должностных инструкций, устанавливающих категории работников, допускаемых к персональным данным, порядок предоставления им допуска к персональным данным и порядок осуществления ими работы с персональными данными. 5.17.В Обществе осуществляется регулирование полномочий доступа к персональным данным.
5.18.В Обществе обеспечивается защита всех информационных систем персональных данных.
5.19.В Обществе на постоянной основе осуществляется контроль за исполнением требований в отношение обработки персональных данных и защиты информационных систем персональных данных.
5.20.В Обществе контролируется исполнение требований актов, указанных в пункте 3.1.16 Положения.
5.21.В Обществе принимаются организационные и технические меры, позволяющие выявлять нарушения требований в сфере защиты персональных данных и устранять последствия указанных нарушений.
5.22.Общество принимает меры в случае нарушения требований в сфере безопасности персональных данных, направленные на выявление нарушителей и привлечение их к соответствующей ответственности, в том числе к дисциплинарной ответственности.
5.23.Планирование бюджета Общества на очередной финансовый год осуществляется с учетом необходимости осуществления соответствующих расходов на обеспечение защиты персональных данных.
5.24.Для случаев обработки персональных данных, осуществляемой без использования средств автоматизации, в Обществе обеспечивается, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
5.25.Для случаев обработки персональных данных, осуществляемой без использования средств автоматизации, в Обществе обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
5.26.При хранении материальных носителей в Обществе обеспечиваются и соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
5.27.В случаях, предусмотренных действующим законодательством Российской Федерации, Общество на основании запроса предоставляет персональные данные субъектов этих данных государственным органам и (или) должностным лицам, уполномоченным на истребование таких персональных данных.
§ 3.2. Принципы обработки и обеспечения защиты персональных данных клиентов Общества.
В случае, если обработка персональных данных, получаемых при заключении Договора на оказание услуг, будет поручена третьему лицу, Общество получает у соответствующего субъекта персональных данных согласие на обработку его персональных данных указанным третьим лицом. Общество обеспечивает реализацию субъектами персональных данных, являющимися стороной Договора на оказание услуг, права на уточнение (обновление, изменение) ранее предоставленных ими персональных данных в случае, если они являются неполными, устаревшими, неточными.
§ 3.3. Принципы обработки и обеспечения защиты персональных данных работников Общества.
...
§ 3.4. Принципы обработки и обеспечения защиты персональных данных посетителей территорий и объектов, контролируемых Обществом.
...