Политика о защите персональных данных

1.    ОБЩИЕ ПОЛОЖЕНИЯ

1.1.    Настоящая Политика (далее – Политика) разработана в соответствии с Конституцией РФ, Трудовым Кодексом РФ, Федеральным законом 07.07.2016 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), а также иными нормативно-правовыми актами в области защиты и обработки персональных данных.  
1.2.    Цель настоящей Политики - защита персональных данных физических лиц от несанкционированного доступа и разглашения. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией. 
1.3.    Политика вступает в силу с момента его утверждения и действует бессрочно до замены его новой Политикой.

2.     ТЕРМИНЫ И ПРИНЯТЫЕ СОКРАЩЕНИЯ

2.1.    Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
2.2.    Субъект ПД – любые физические лица, предоставляющие Оператору персональные данные, в том числе, но не ограничиваясь: работники, представители, члены органов управления, соискатели, Работники или представители партнеров и клиентов.
2.3.    Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является АО «АСТРОС РУС», расположенное по адресу: 188510, Российская Федерация, Ленинградская область, Ломоносовский муниципальный, район, Виллозское городское поселение, территория Производственная зона «Горелово» квартал 5, Волхонское шоссе, дом 2а, строение 8, помещение 100 (далее – Оператор, Компания).
2.4.    Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.5.    Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.6.    Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.7.    Персональные данные, сделанные общедоступными субъектом персональных данных, – ПД, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.
2.8.    Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.9.    Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.10.    Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) – федеральный орган, уполномоченный осуществлять деятельность по обеспечению и контролю за соблюдением законодательства по защите персональных данных. 
2.11.    Иные термины, не установленные в данном разделе Политики применяются в соответствии с законодательством.

3.    КЛЮЧЕВЫЕ ПРИНЦИПЫ, КОТОРЫХ ПРИДЕРЖИВАЕТСЯ ОПЕРАТОР

3.1.    Ключевые принципы, которых придерживается Astros Logistics  при обработке персональных данных, соответствуют требованиям российского законодательства.
3.2.    Принципы, которых придерживается Оператор: 
•    Законность, справедливость и прозрачность 
•    Целевое ограничение;
•    Минимизация использованных данных 
•    Точность и актуальности;
•    Ограничение по хранению 
•    Целостность и конфиденциальность/безопасность;
•    Ответственность 
3.3.    О принципах подробнее:
3.3.1.    Законность, справедливость и прозрачность.
В соответствии с данным принципом оператор должен осуществлять обработку ПД только на законных основаниях. Оператор должен иметь разрешения субъектов данных. Оператор обязан добросовестно и честно осуществлять целевую обработку ПД. Процесс обработки ПД должен быть четким и понятным как субъектам данных, так и иным заинтересованным лицам.
3.3.2.    Принцип Целевого ограничения. 
Оператор данных не имеет права использовать данные в иных целях, нежели в отношении которых ему предоставлено права от субъекта данных. Цели использования ПД должны быть закреплены в документах компании.
3.3.3.    Принцип Минимизации данных.  
У оператора не должно быть данных больше, чем это необходимо для целей обработки.
3.3.4.    Принцип точности и аккуратности. 
Оператор должен предпринять все необходимые меры, чтобы хранящиеся данные соответствовали действительности и не вводили в заблуждение.
3.3.5.    Принцип Ограничения хранения. 
Персональные данные должны обрабатываться и хранится на протяжении того времени, которое необходимо для достижения цели такой обработки. Оператор не может хранить ПД бессрочно.
3.3.6.    Принцип Целостности и Конфиденциальности.
Оператор обязан обеспечить защиту ПД как на административном, так и на техническом уровне. Применение средств и способов защиты, в том числе псевдонимизации и шифрования должно осуществляться соразмерно объему обрабатываемых данных и предполагаемому ущербу от их утечки. Работники компании должны быть проинструктированы о порядке обращения с ПД, в компании - внедрены политики и назначены ответственные лица.
3.3.7.    Принцип Ответственности.
Оператор несет ответственность за нарушения в области обращения с ПД. Данный принцип налагает на оператора обязанность выполнение всех остальных принципов, включая записи о конфиденциальности; защите, использовании, проверки данных; назначении должностного лица по защите данных. 
[1] Под Astros Logistics подразумеваются следующие юридические лица: АО «АСТРОС РУС», АО «Астрос ЛЦ, ООО «РусьИмпорт», ООО «Эй.Си.Дистрибьюшн», ООО «АЛЕРС ТЛР», ООО «А-КАСТОМС».

4.    ЦЕЛИ ОБРАБОТКИ ПД И СУБЪЕКТЫ ПД

4.1.    . Цели обработки персональных данных:
•    осуществление трудовых отношений, развитие и обучение Работников и иные цели, установленные трудовым законодательством, в том числе обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности работников, контроля количества и качества выполняемой работы и обеспечение сохранности имущества;
•    осуществление подбора Работников, содействие в трудоустройстве;
•    осуществление гражданско-правовых отношений;
•    осуществление коммерческой деятельности Оператора;
•    проведение переговоров;
•    организация пропуска физических лиц на территорию Оператора;
•    обеспечение безопасности имущества и Работников;
•    реализация обязанностей Оператора по предоставлению льгот и гарантий работникам Оператора;
•    соблюдение требований законодательства, в том числе налогового и архивного.
4.2.    Оператором обрабатываются персональные данные следующих субъектов ПД в соответствии с указанными в п. 4.1. целями обработки:
4.2.1.    физические лица, состоящие с Компанией в трудовых отношениях (далее – Работники);
4.2.2.    физические лица, уволившиеся из Компании (далее – бывшие Работники);
4.2.3.    физические лица, обработка персональных данных которых необходима для предоставления льгот и гарантий работникам Оператора (далее – Член семьи);
4.2.4.    физические лица, являющиеся кандидатами на работу, включая студентов и практикантов (далее – Соискатели);
4.2.5.    физические лица, состоящие с Компанией в гражданско-правовых отношениях, включая стажеров (далее – Исполнители);
4.2.6.    физические лица, являющиеся посетителями Компании (пропускного режима) (далее – Посетители);
4.2.7.    физические лица, являющиеся Работниками или представителями клиентов, партнеров (далее – Клиенты). 
4.3.    Данная Политика регламентирует порядок обработки персональных данных всех указанных категорий субъектов ПД. 
4.4.    По отдельным категориям субъектов могут быть приняты отдельные локальные нормативные акты, политики в случае необходимости отдельного регулирования порядка защиты их персональных данных, или в случае наличия таких требований в законодательстве. В частности (но не ограничиваясь) отдельное локальное регулирование принято по порядку обработки и защиты персональных данных Работников, в соответствии с требованиями ст. 86 Трудового кодекса РФ.

5.    СОГЛАСИЕ СУБЪЕКТА НА ОБРАБОТКУ ПД

5.1.    Обработка персональных данных осуществляется:
•    в отдельных случаях без получения согласия субъекта ПД, 
•    с письменного согласия субъекта ПД.
5.2.    Без согласия субъекта ПД обрабатываются в следующих случаях: 
•    когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;
•    в иных случаях, когда получение такого согласия не требуется по законодательству согласно ст. 6 Закона о персональных данных.
5.3.    С согласия субъекта ПД обрабатываются в следующих случаях: 
•    в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных), 
•    в иных случаях, не установленных ст. 6 Закона о персональных данных.
5.4.    Перечень персональных данных, обработка которых осуществляется с согласия субъекта, прописывается в согласии субъекта на обработку персональных данных с указанием целей обработки этих данных.
5.5.    Перед предоставлением своих ПД субъект должен: 
•    ознакомиться с данной Политикой, 
•    предоставить свои персональные данные, которые требуются по законодательству для достижения целей их обработки, 
•    дать письменное согласие на обработку тех персональных данных, которые не требуются по законодательству, но субъект готов осознанно предоставить их Оператору для достижения целей, указанных в таком согласии.
5.6.    Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. 
5.7.    Согласие на обработку ПД может быть оформлено следующими способами: 
•    в бумажном виде с собственноручной подписью субъекта. Такое согласие предоставляется субъектом уполномоченным должностных лицам Оператора лично или отправляется посредством почтовой связи,
•    в электронном виде с применением электронной подписи и в порядке, установленном действующим законодательством, в частности Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи", 
•    в виде скан-образа документа, отправленным по электронной почте или иным способом с применением систем дистанционных технологий с дополнительным подтверждением личности и воли отправителя согласия.
5.8.    Оператор применяет типовые формы согласий на обработку ПД, разработанных в соответствии со ст. 9 Закона о защите персональных данных.  
5.9.    Субъекту ПД до предоставления ПД предоставляется типовая форма согласия на обработку ПД, которую ему необходимо заполнить с учетом своего выбора о запрашиваемых Оператором сведений, подписать и передать Оператору установленным в компании способом.
5.10.    Типовая форма согласия Работников является приложением к соответствующему положению, с которым работники знакомятся под роспись до заключения трудового договора. 
5.11.    Субъект ПД принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. В типовой форме согласия субъект ПД должен указать те данные, обработку которых он разрешает или запрещает, установить ограничения (при необходимости). 
5.12.    Типовая форма согласия является только формой, разработанной в соответствии с законодательством, все данные в согласии могут корректироваться, исправляться, исключатся субъектом ПД, за исключением случаев, когда определенные сведения указаны в согласии в соответствии с требованиями ст. 9 Закона о защите персональных данных.
5.13.    Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. 
5.14.    В случае получения согласия на обработку ПД от представителя субъекта ПД полномочия данного представителя на дачу согласия от имени субъекта ПД проверяются Оператором.
5.15.    Согласие физического лица, являющегося Работником или представителем клиентов, партнеров (далее – Клиенты), на передачу персональных данных Оператору обеспечивает юридическое лицо, направившее конкретное физическое лицо к Оператору.  Оператор может дополнительно запросить согласие с такого физического лица при необходимости обработки большего количества персональных данных чем требуется для прохода на территорию Оператора (больше, чем указано в согласии Посетителя).
5.16.    Согласие на обработку ПД может быть отозвано субъектом ПД в следующей форме: 
•    в бумажном виде с собственноручной подписью субъекта. Такой отзыв предоставляется субъектом в произвольной форме и передается уполномоченному должностному лицу Оператора лично или отправляется посредством почтовой связи,
•    в электронном виде с применением электронной подписи и в порядке, установленном действующим законодательством, в частности Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи", 
•    в виде скан-образа документа, отправленным по электронной почте или иным способом с применением систем дистанционных технологий с дополнительным подтверждением личности и воли отправителя отзыва.
5.17.    В случае отзыва субъектом ПД согласия на обработку ПД Оператор вправе продолжить обработку персональных данных, обработка которых осуществляется в силу закона без согласия субъекта ПД. 

6.    ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1.    Получение ПД.
6.1.1.    Все ПД Оператор получает от самого субъекта и с его согласия. Если ПД субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.
6.1.2.    Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПД, характере подлежащих получению ПД, перечне действий с ПД, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.
6.1.3.    Документы, содержащие ПД, создаются путем:
•    копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др. с письменного согласия субъекта ПД);
•    внесения сведений в учетные формы Оператора;
•    получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др. в случаях, установленных законодательством), 
•    и другими способами, не противоречащими законодательству.
6.2.    Обработка ПД.
6.2.1.    Обработка персональных данных ведется:
•    с использованием средств автоматизации;
•    без использования средств автоматизации.
6.3.    Хранение ПД.
6.3.1.    ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
6.3.2.    ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
6.3.3.    ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
6.3.4.    Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.
6.3.5.    Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, ПД подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
6.3.6.    Хранение ПД в электронной форме может осуществляться на серверах и иных устройствах, расположенных на территории Российской Федерации.
6.4.    Уничтожение ПД.
6.4.1.    Порядок уничтожения персональных данных установлен отдельным локальным актом Оператора. Порядок уничтожения персональных данных осуществляется в соответствии с требованиями законодательства. 
6.4.2.    Уничтожение документов (носителей), содержащих ПД, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. 
6.4.3.    Для уничтожения бумажных документов допускается применение шредера.
6.4.4.    ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.
6.4.5.    Факт уничтожения ПД подтверждается документально актом об уничтожении носителей.
6.5.    Передача ПД.
6.5.1.    Оператор передает ПД третьим лицам в следующих случаях:
•    субъект выразил свое согласие на такие действия;
•    передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.
6.5.2.    Перечень лиц, которым передаются ПД в соответствии с законодательством и на передачу которым не требуется согласие субъекта ПД: 
•    Социальный фонд РФ (СФР);
•    налоговые органы РФ;
•    военные комиссариаты и иные структуры, на которые возложены функции и полномочия по ведению воинского учета и обеспечения обороноспособности страны;
•    органам статистического учета (обезличенные персональные данные);
•    иные юридические лица, обязанность передачи которым установлена законодательством. 
6.5.3.    Перечень лиц, которым передаются ПД в соответствии с полученным согласием субъекта ПД: 
•    страховые медицинские организации (кроме случаев, установленных законодательством);
•    банки для перечисления денежных средств физическим лицам;
•    иные юридические лица (контрагенты, партнеры).
6.5.4.    Персональные данные передаются в том объеме, который позволяет не разглашать излишний объем персональных сведений.

7.    ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1.     В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
7.2.    Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
7.3.    Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с Работниками, партнерами и сторонними лицами.
7.4.    Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.
7.5.    Основными мерами защиты ПД, используемыми Оператором, являются:
7.5.1.    Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПД.
7.5.2.    Определение актуальных угроз безопасности ПД при их обработке в ИСПД и разработка мер и мероприятий по защите ПД.
7.5.3.    Разработка политики в отношении обработки персональных данных.
7.5.4.    Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД.
7.5.5.    Установление индивидуальных паролей доступа Работников в информационную систему в соответствии с их производственными обязанностями.
7.5.6.    Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
7.5.7.    Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
7.5.8.    Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ.
7.5.9.    Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
7.5.10.     Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
7.5.11.     Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.
7.5.12.     Осуществление внутреннего контроля и аудита.

8.    ДОСТУП К ПЕРСОНАЛЬНЫХ ДАННЫМ

8.1.    Компанией установлены правила доступа к обрабатываемым ПД.
8.2.    В целях обеспечения сохранности и конфиденциальности персональных данных все операции по оформлению, формированию, ведению и хранению информации, содержащей ПД, должны выполняться работниками Компании, осуществляющими данную функцию в соответствии со своими служебными обязанностями.
8.3.    Доступ к ПД имеют: 
8.3.1.    Полный доступ: 
•    Генеральный директор;
•    Директор по информационным технологиям.
8.3.2.    Ограниченный доступ (необходимый для выполнения работниками оператора своих трудовых функций):
•    Директор по персоналу;
•    Работники отдела управления персоналом; 
•    Руководители структурных подразделений по направлению деятельности (доступ к личным данным работников своего подразделения); 
•    Работники бухгалтерии; 
•    Работники юридического отдела;
•    Работники финансового отдела;
•    Работники группы клиентского сервиса;
•    Административная группа;
•    Отдел информационных технологий;
•    Группа системного администрирования и технической поддержки.
8.4.    Личные дела и документы, содержащие ПД, хранятся в запирающихся шкафах, обеспечивающих защиту от несанкционированного доступа.
8.5.    Персональные компьютеры, в которых содержатся персональные данные, защищаются паролями доступа.

9.    ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ 
СУБЪЕКТА ПД И ОПЕРАТОРА

9.1.    Права субъекта ПД.
9.1.1.    Субъект имеет право на доступ к его персональным данным и следующим сведениям:
•    подтверждение факта обработки ПД;
•    правовые основания и цели обработки ПД;
•    способы обработки ПД;
•    место хранения ПД, сведения о лицах, которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Оператором или на основании федерального закона;
•    сроки обработки персональных данных, в том числе сроки их хранения;
•    наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Оператора, если обработка поручена или будет поручена такому лицу.
9.1.2.    Субъект ПД имеет право обращаться к Оператору и направлять ему запросы путем использования официальных способов коммуникации;
9.1.3.    Субъект имеет право на обжалование действий или бездействия Оператора.
9.1.4.    Субъект имеет право отзыва своих персональных данных, кроме тех, обработку которых Оператор осуществляет в силу требований действующего законодательства.
9.2.    Обязанности субъекта ПД:
•    передавать Оператору достоверные ПД; 
•    своевременно сообщать Оператору об изменении ПД.
9.3.    Обязанности Оператора:
•    выполнять требования действующего законодательства, регулирующего порядок обработки и защиты персональных данных, а также требования данной Политики и порядок, установленный иными локальными актами Оператора.

10.    ДОСТУП К ИНФОРМАЦИИ О ЗАЩИТЕ ПД

10.1.    Компания обеспечивает неограниченный доступ к настоящей Политике об обработке ПД путем ее публикации на сайте astroslogistics.ru, на внутреннем портале, а также путем размещения в открытом доступе на бумажных носителях и иными способами.
10.2.    Иные локальные акты и документы Оператора по обработке и защите персональных данных предоставляются в порядке, установленном законодательством. 

Eще 4 изображения

Решите Ваши проблемы с цепями поставок уже сегодня!

Как мы вам можем помочь?