1. Область применения
Настоящая Политика является открытым документом и предназначена для ознакомления неограниченного круга лиц.

2. Нормативные ссылки
При разработке настоящего документа учитывались требования следующих действующих нормативных правовых актов:

• Федеральный закон Российской Федерации от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
• Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

3. Термины и определения

1. Автоматизированная обработка персональных данных — Обработка персональных данных с помощью средств вычислительной техники
2. Безопасность персональных данных — Состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных
3. Информационная система персональных данных — Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
4. Конфиденциальность персональных данных — Обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания
5. Криптосредство — Шифровальное (криптографическое) средство, предназначенное для защиты информации, не содержащей сведений, составляющих государственную тайну. В частности, к криптосредствам относятся средства криптографической защиты информации (СКЗИ) — шифровальные (криптографические) средства защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну
6. Обезличивание персональных данных — Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных
7. Обработка персональных данных — Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
8. Объем одновременно обрабатываемых персональных данных — Количество субъектов ПДн, персональные данные которых по состоянию на определенный момент времени обрабатываются в информационной системе
9. Оператор (персональных данных) — Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
10. Персональные данные- Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
11. Пользователь информационной системы персональных данных Лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования
12. Технические средства информационной системы персональных данных Технические средства, осуществляющие обработку ПДн (средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т. п.), средства защиты информации)

4. Обозначения и сокращения

1. ИС — Информационная система
2. ИСПДн — Информационная система персональных данных
3. ООО — Общество с ограниченной ответственностью
4. ПДн — Персональные данные
5. СЗИ — Средство защиты информации
6. СКЗИ — Средство криптографической защиты информации

5. Общие положения
5.1. Целью настоящей Политики является обеспечение соответствия порядка обработки ПДн в ООО «Гипер» требованиям действующего законодательства Российской Федерации о ПДн, обеспечение безопасности ПДн, обрабатываемых ООО «Гипер», от всех видов угроз — внешних и внутренних, умышленных и непреднамеренных — и минимизация ущерба субъектам ПДн от возможной реализации угроз безопасности.
5.2. Безопасность ПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к ПДн, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иные несанкционированные действия.
5.3. При обработке ПДн ООО «Гипер» придерживается следующих принципов:

1. Соблюдение законности получения, обработки, хранения и иных действий с ПДн.
2. Обработка ПДн исключительно в законных целях, перечисленных в пункте 7 настоящей Политики.
3. Хранение ПДн, обработка которых осуществляется с несвязанными целями, в различных базах данных.
4. Сбор только тех ПДн, которые минимально необходимы для достижения заявленных целей обработки.
5. Обеспечение безопасности ПДн, их точности, достаточности и актуальности.
6. Соблюдение прав субъекта ПДн на доступ к своим данным.
7. Уничтожение или обезличивание ПДн по достижении целей обработки либо при утрате необходимости в них.

5.4. В ООО «Гипер» не производится принятие решений на основании исключительно автоматизированной обработки ПДн, порождающих юридические последствия для субъекта ПДн или иным образом затрагивающих его права и интересы.

6. Обрабатываемые персональные данные
6.1. Обрабатываются ПДн следующих категорий субъектов:

1. Работники ООО «Гипер» (в том числе бывшие).
2. Лица, связанные с работниками (например, для исполнения судебных решений по алиментам или заполнения форм по трудовому законодательству).
3. Соискатели на вакантные должности.
4. Лица, связанные с соискателями (например, указанные в анкете кандидата).
5. Контрагенты (физические лица, ИП, представители организаций).
6. Бенефициары контрагентов (конечные собственники, выгодоприобретатели).
7. Клиенты — физические лица.

6.2. Под обработкой ПДн понимается любое действие (операция) с использованием или без использования автоматизации: сбор, запись, систематизация, хранение, уточнение, использование, передача, блокирование, удаление, уничтожение.
6.3. Не допускается обработка ПДн, касающихся:

1. Национальной и расовой принадлежности.
2. Политических взглядов.
3. Религиозных и философских убеждений.
4. Интимной жизни.

6.4. Обработка данных о судимости допускается только в случаях, установленных федеральным законом.
6.5. Обработка данных о состоянии здоровья возможна только по закону или с письменного согласия субъекта.
6.6. Обработка ПДн в целях продвижения товаров и услуг допускается только с предварительного согласия субъекта; по его требованию обработка прекращается.

7. Цели сбора и обработки персональных данных
7.1. Обработка ПДн осуществляется для достижения следующих целей:

1. Исполнение обязанностей работодателя (кадровое делопроизводство, безопасность, страхование, учет рабочего времени, командировки и т. д.).
2. Подбор кандидатов и ведение кадрового резерва.
3. Заключение и исполнение договоров гражданско-правового характера.
4. Создание общедоступных источников информации для деятельности организации.
5. Организация пропускного и внутриобъектового режимов.
6. Архивное хранение документов.

8. Условия обработки персональных данных и их передачи третьим лицам
8.1. Обработка персональных данных

1. Осуществляется с соблюдением принципов и правил, установленных Федеральным законом № 152-ФЗ.
2. Проводится автоматизированным и неавтоматизированным способами.
3. К обработке допускаются только сотрудники, прошедшие допуск:

• ознакомление с локальными актами;
• подписание обязательства о конфиденциальности;
• получение индивидуальных атрибутов доступа.

4. Сотрудники получают только те данные, которые необходимы для исполнения трудовых функций.

8.2. Хранение персональных данных

1. ПДн хранятся в электронном виде (в ИСПДн) и на бумажных носителях.
2. Применяются организационные и технические меры безопасности, включая:

• назначение ответственных лиц;
• режим безопасности помещений;
• использование сертифицированных СЗИ и СКЗИ;
• учет носителей данных и систем.

8.3. Передача персональных данных

1. Возможна только сотрудникам и третьим лицам, подписавшим обязательство о конфиденциальности.
2. Передача допускается с согласия субъекта или по требованию закона.
3. При электронной передаче используются меры криптографической защиты.
4. Трансграничная передача ПДн не производится.

8.4. Поручение обработки персональных данных

1. Возможно только по договору и с согласия субъекта.
2. ООО «Гипер» определяет действия, цели и требования по защите данных.
3. Ответственность за действия подрядчика несет ООО «Гипер».

8.5. Уничтожение персональных данных

1. Производится, когда восстановление данных невозможно.
2. ПДн уничтожаются в случаях:

• достижения целей обработки;
• требования субъекта или органа;
• отзыва согласия;
• невозможности устранения нарушений.

9. Защита персональных данныхОбеспечивается путем:

1. Реализации системы защиты ПДн.
2. Назначения ответственных лиц.
3. Проведения аудитов и анализа угроз.
4. Определения уровня защищенности.
5. Применения сертифицированных средств защиты и СКЗИ.
6. Регистрации всех действий с ПДн.
7. Обучения сотрудников.
8. Контроля состояния защищенности и актуальности мер.

10. Согласие субъекта на обработку его персональных данныхСогласие предоставляется свободно и осознанно.

1. Может быть отозвано в любой момент.
2. Может быть дано в любой форме, позволяющей подтвердить факт получения.
3. В отдельных случаях требуется письменное согласие.
4. В случае недееспособности согласие дает представитель.
5. В случае смерти — наследники.
6. ПДн могут быть получены от третьего лица только при наличии законных оснований.

11. Права субъекта персональных данныхПолучение информации о факте и целях обработки.

1. Сведения о лицах, имеющих доступ к данным.
2. Ознакомление с собственными ПДн и сроками их хранения.
3. Возможность направить письменный запрос в ООО «Гипер».
4. Ответ предоставляется в течение 30 дней.
5. Порядок обработки запросов регламентируется внутренним документом.

12. Обязанности ООО «Гипер"Обрабатывать ПДн только при наличии согласия или законных оснований.

1. Предоставлять субъекту информацию об обработке его ПДн.
2. Обеспечивать защиту данных от неправомерных действий.
3. Реагировать на запросы субъектов и органов надзора.
4. Устранять выявленные нарушения в течение 7 рабочих дней.
5. Прекращать обработку и уничтожать ПДн по достижении целей.
6. Блокировать или уничтожать неправомерно обрабатываемые данные.
7. Уведомлять уполномоченный орган о начале или изменении обработки ПДн.

13. Ответственность

1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РФ.

14. Изменение политики

1. Политика подлежит пересмотру не реже одного раза в год.
2. Внеплановый пересмотр осуществляется при изменении законодательства или деятельности ООО «Гипер».