1. Общие положения

Обеспечение конфиденциальности и безопасности обработки персональных данных в ООО «Амадеус - информационные технологии» является одной из приоритетных задач организации.

Политика обработки персональных данных (далее — Политика) в ООО «Амадеус - информационные технологии» определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты прав субъектов персональных данных ООО «Амадеус - информационные технологии».

Обработка, хранение и обеспечение конфиденциальности и безопасности персональных данных осуществляется в соответствии с действующим законодательством РФ в сфере защиты персональных данных и в соответствии с локальными актами ООО «Амадеус - информационные технологии».

Настоящая Политика определяет принципы, порядок и условия обработки персональных данных работников и контрагентов ООО «Амадеус - информационные технологии» и иных лиц, чьи персональные данные обрабатываются ООО «Амадеус - информационные технологии», с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц ООО «Амадеус - информационные технологии», имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

Политика разработана на основе законодательства Российской Федерации. В Политике используются термины и определения в соответствии с их значениями, как они определены в Федеральном законе от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее — 152-ФЗ). ООО «Амадеус - информационные технологии» обрабатывает персональные данные с учетом требований самого 152-ФЗ, его подзаконных актов и нормативно-методических документов государственных органов Российской Федерации, уполномоченных в сфере информационной безопасности и защиты прав субъектов персональных данных.

2. Понятие и состав персональных данных

Сведениями, составляющими персональные данные, в ООО «Амадеус - информационные технологии» является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Перечень персональных данных, подлежащих защите в ООО «Амадеус - информационные технологии», определятся целями их обработки, Федеральным законом № 152-ФЗ «О защите персональных данных», Трудовым кодексом РФ и другими нормативно-правовыми актами.

Действия с персональными данными включают:

• сбор;
• запись;
• систематизацию;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передачу (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение;
• размещение в облачных сервисах и трансграничную передачу.

При обработке обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. При обнаружении неточных или неполных персональных данных может производиться их уточнение и актуализация. В случаях, когда актуализация персональных данных находится вне зоны ответственности Общества, обработка может быть приостановлена до момента актуализации. Обязанности и ответственность за своевременную актуализацию персональных данных для отдельных случаев обработки могут устанавливаться соглашениями или локальными актами ООО «Амадеус - информационные технологии».

Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, установленные законодательством РФ.

В ООО «Амадеус - информационные технологии» обрабатываются следующие персональные данные работников, контрагентов и клиентов на вакантные должности:

• фамилия, имя, отчество;
• год рождения, месяц рождения, дата рождения;
• место рождения;
• семейное положение;
• доходы;
• пол;
• адрес электронной почты;
• адрес места жительства;
• адрес регистрации;
• номер телефона;
• СНИЛС;
• ИНН;
• гражданство;
• данные документа, удостоверяющего личность;
• данные документа, удостоверяющего личность за пределами Российской Федерации;
• данные документа, содержащиеся в свидетельстве о рождении;
• реквизиты банковской карты;
• номер расчетного счета, номер лицевого счета;
• профессия;
• должность;
• сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);
• отношение к воинской обязанности, сведения о воинском учете;
• сведения об образовании.

3. Цели сбора персональных данных

ООО «Амадеус - информационные технологии» осуществляет обработку персональных данных в следующих целях:

• ведение кадрового и бухгалтерского учета;
• обеспечение соблюдения трудового законодательства РФ;
• обеспечение соблюдения налогового законодательства РФ;
• обеспечение соблюдения пенсионного законодательства РФ;
• добровольное медицинское страхование.

4. Правовые основания обработки персональных данных

Персональные данные ООО «Амадеус - информационные технологии» обрабатываются на основании:

• Трудового кодекса Российской Федерации;
• устава ООО «Амадеус - информационные технологии»;
• договоров, заключаемых между ООО «Амадеус - информационные технологии» и субъектом персональных данных;
• согласия на обработку персональных данных.

5. Сроки обработки персональных данных

Сроки обработки персональных данных определяются в соответствии со сроком действия договора (соглашением) с субъектом персональных данных, Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроком исковой давности, а также иными требованиями законодательства РФ.

В ООО «Амадеус - информационные технологии» создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Требования к использованию данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

6. Права и обязанности

ООО «Амадеус - информационные технологии» как оператор персональных данных вправе:

• предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
• отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
• использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством;
• отстаивать свои интересы в суде.

ООО «Амадеус - информационные технологии» как оператор персональных данных обязан:

• обеспечить каждому субъекту персональных данных возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом;
• внести необходимые изменения, уничтожить или блокировать персональные данные в случае предоставления субъектом неполных, устаревших, недостоверных или незаконно полученных персональных данных, а также уведомить о своих действиях субъекта персональных данных;
• выполнять требования законодательства Российской Федерации.

Субъект персональных данных имеет право:

• отозвать согласие на обработку персональных данных, направив соответствующий запрос Обществу по почте или обратившись лично;
• на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
  • подтверждение факта обработки персональных данных;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые в Обществе способы обработки персональных данных;
  • наименование и место нахождения ООО «Амадеус - информационные технологии», сведения о лицах (за исключением сотрудников/работников), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора, соглашения с ООО «Амадеус - информационные технологии» или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных 152-ФЗ;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ООО «Амадеус - информационные технологии», если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные 152-ФЗ или другими федеральными законами;
• требовать от ООО «Амадеус - информационные технологии» уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные применимым законодательством меры по защите своих прав;
• если субъект персональных данных считает, что ООО «Амадеус - информационные технологии» осуществляет обработку его персональных данных с нарушением требований 152-ФЗ или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие ООО «Амадеус - информационные технологии» в Роскомнадзоре, ином уполномоченном надзорном органе или в судебном порядке;
• на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Субъект персональных данных обязан:

• передавать достоверные, необходимые для достижения целей обработки персональные данные, а также подтверждать достоверность персональных данных предъявлением оригиналов документов;
• в случае изменения персональных данных, необходимых для достижения целей обработки, сообщить ООО «Амадеус - информационные технологии» уточненные персональные данные и подтвердить изменения оригиналами документов;
• выполнять требования законодательства Российской Федерации.

7. Порядок и условия обработки персональных данных

ООО «Амадеус - информационные технологии» осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.

Под обработкой персональных данных в ООО «Амадеус - информационные технологии» понимается сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Персональные данные не передаются третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации.

Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

Обработка персональных данных в ООО «Амадеус - информационные технологии» производится на основе соблюдения принципов:

• законности целей и способов обработки персональных данных;
• соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
• соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
• достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
• хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
• уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

Отказ контрагента или работника ООО «Амадеус - информационные технологии» от предоставления согласия на обработку его персональных данных влечет за собой невозможность достижения целей обработки.

8. Обеспечение безопасности персональных данных

ООО «Амадеус - информационные технологии» предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

В ООО «Амадеус - информационные технологии» для обеспечения безопасности персональных данных приняты следующие меры:

• назначено лицо, ответственное за организацию обработки персональных данных;
• утверждены документы, определяющие политику ООО «Амадеус - информационные технологии» в отношении обработки персональных данных и устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства. К таким документам, в частности, относятся:
  • план мероприятий по обеспечению безопасности персональных данных в ИСПДн;
  • перечень персональных данных, подлежащих защите;
  • положение о разграничении прав доступа к персональным данным;
  • приказ об утверждении перечня лиц, допущенных к обработке персональных данных;
  • положение о защите и обработке персональных данных;
  • политика в отношении обработки персональных данных;
  • правила обработки персональных данных без использования средств автоматизации;
  • приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении;
  • инструкция пользователя ИСПДн;
  • инструкция ответственного за организацию обработки персональных данных;
  • приказ о назначении группы реагирования на инциденты информационной безопасности;
• устранение последствий нарушений законодательства РФ производится в соответствии с действующим законодательством РФ, в соответствии с положением об обработке и защите персональных данных;
• внутренний контроль соответствия обработки персональных данных законодательству РФ в данной сфере производится в соответствии с планом внутренних проверок, инструкцией администратора безопасности и положением об обработке и защите персональных данных;
• для информационной системы персональных данных разработана модель угроз безопасности персональных данных, в которой при определении опасности угроз проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства;
• проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;
• правила доступа к персональным данным утверждены в соответствующем положении, технически реализуются с помощью средств защиты информации;
• сотрудники, допущенные к обработке персональных данных, проходят инструктажи по информационной безопасности, подписывают соглашение о неразглашении персональных данных, знакомятся с документами по защите персональных данных под роспись.

9. Заключительные положения

К настоящей Политике обеспечивается неограниченный доступ.

Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.

Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных ООО «Амадеус - информационные технологии».

Ответственность должностных лиц ООО «Амадеус - информационные технологии», имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами ООО «Амадеус - информационные технологии».