1. Общие положения
1.1. В положениях настоящей политики, составленной с целью регулирования работы с персональными данными (ниже – Политика), определён комплекс мероприятий по их получению и последующей обработке. Принципы Политики учитывают регламент, установленный ФЗ № 152 «О персональных данных», и не имеют противоречий с существующим законодательством РФ, регулирующим процессы работы с персональными данными (ниже – данные). Политика распространяет своё действие на все без исключений данные, получаемые сайтом https://mastercvetov.com/ (ниже – Сайт) от лиц, которые выступают второй стороной в гражданско-правовых договорах, и от посетителей Сайта (ниже – Пользователи).
1.2. Сайтом осуществляется необходимый комплекс мероприятий, обеспечивающий защиту собранных данных от постороннего доступа, разглашения, неправомочного использования или потери, что отвечает требованиям обозначенного выше ФЗ № 152 «О персональных данных».
1.3. За Сайтом остаётся право осуществления корректировки Политики. После этого дата последних дополнений отражается в конце её заголовка. Обновленная редакция обретает силу сразу после её размещения на Сайте, если противоположное не обозначено в последнем варианте документа.
2. Специальные термины и аббревиатуры
2.1. Персональные данные – консолидированные сведения различного рода о некотором субъекте данных, имеющие даже непрямое к нему отношение.
2.2. Обработка данных – различные манипуляции с данными либо целый их комплекс, осуществляемый посредством автоматических систем или вручную. К таковым относят: процедуру получения, копирования и записи полученных сведений, их консолидацию и приведение в систему, осуществление накопления и безопасного хранения, а также добавление изменений, использование, передачу любыми методами, обезличивание, блокирование и полное удаление информации.
2.3. Автоматизированная обработка данных – все действия, описанные выше, с предоставленными сведениями от их сбора до удаления, осуществляемые посредством автоматизированных систем.
2.4. Информационная система персональных данных (ИСПД) – база консолидированных и приведённых в систему сведений, работа с которыми обеспечивается посредством информационных технологий и технических средств.
2.5. Персональные данные, сделанные общедоступными субъектом персональных данных – данные, доступ к которым открыт для любых лиц самим субъектом данных или кем-то по его просьбе.
2.6. Блокировка данных – остановка работы с данными, исключая ситуации, когда некоторые действия с ними требуются для их же уточнения.
2.7. Уничтожение данных – действия, влекущие невозможность восстановления информации в ИСПД, и/или в результате которых физически уничтожаются носители, хранящие базы данных.
2.8. Сайт – организация, ведущая работу с данными самостоятельно либо с привлечением третьих лиц. Она же определяет цели, для реализации которых осуществляются любые действия с имеющимися данными.
3. Обработка персональных данных
3.1. Порядок получения данных.
3.1.1. Передача задокументированных сведений о личности субъекта осуществляется непосредственно им самим в ответ на запрос Сайта. Когда получение необходимой информации становится возможным только через третьих лиц, то необходимо обязательное уведомление субъекта или наличие его письменного согласия.
3.1.2. Сайт не ограничивает субъекту доступ к максимально полной информации о целях, для реализации которых ведётся сбор личных сведений, их характере и возможных источниках, а также о последующих операциях с данными. Открытой остаётся и информация о сроке действия соглашения и механизме его расторжения. В ситуации, когда субъект отказывает Сайту в предоставлении запрашиваемых сведений, последний в обязательном порядке уведомляет его о последствиях подобных действий.
3.1.3. Необходимая информация собирается посредством:
- занесения информации в формы на Сайте, а также в социальных сетях;
- подписка на push канал Сайта;
- получения оригиналов ряда требуемых документов (трудовой книжки, медицинского заключения, характеристик с предыдущих мест работы и др.).
3.2. Обработка данных.
3.2.1. Любой вид работ с данными может быть начат исключительно при соблюдении любого из нижеописанных условий:
- наличие согласия субъекта данных на их обработку;
- в случаях, когда обработка требуется для реализации функций, обязанностей или полномочий, возложенных законодательством РФ;
- персональные данные открыты их субъектом для неограниченного доступа третьих лиц.
3.2.2. Сведения о личности подлежат обработке для:
- юридического оформления трудовых/гражданско-правовых отношений;
- идентификации пользователей Сайта для отправки им уведомлений/запросов и информации, необходимой для исполнения соглашений и договоров, для обработки получаемых запросов и заявок;
- обезличивания данных, необходимого для формирования статистики, которая передаётся третьему лицу для осуществления исследований и работ, а также оказания услуг по поручению Сайта.
3.2.3. Определение категорий субъектов персональных данных.
Для ведения деятельности, не нарушая существующее законодательство, Сайт обрабатывает данные:
- тех лиц, что состоят с ним в трудовых либо в гражданско-правовых отношениях;
- лиц, уволенных с занимаемых на Сайте должностей;
- всех кандидатов, претендующих на работу на Сайте;
- всех пользователей Сайта.
3.2.4. Персональные данные, обрабатываемые Сайтом, могут быть получены:
- в процессе осуществления трудовых отношений;
- при отборе кандидатов на работу;
- в процессе гражданско-правовых отношений;
- от пользователей Сайта.
3.2.5. Полученные данные могут быть обработаны любым из предложенных способов:
- посредством автоматических систем;
- вручную.
3.3. Хранение персональных данных.
3.3.1. Запрошенные Сайтом сведения о субъекте могут быть переданы в наиболее удобном для последнего виде – и в бумажном, и в электронном.
3.3.2. Информация, полученная либо перенесенная на бумажный носитель, подлежит обязательному хранению в сейфах или шкафах, оснащённых замком, либо в специально отведенных для этих целей помещениях, куда любым доступным образом ограничен доступ посторонних.
3.3.3. Данные, проходящие обработку посредством электронных систем в отличных целях, требуют хранения в различных же архивных папках.
3.3.4. Исключается хранение и даже временное размещение информации о персональных данных в ИСПД в незащищённых паролями либо иными средствами электронных каталогах (файлообменниках).
3.3.5. Данные о субъектах в виде, который позволяет произвести идентификацию последних, допустимо хранить столько, сколько требуется для достижения поставленных целей осуществляемой обработки. По факту их достижения или потери их актуальности информация должна быть уничтожена любым из доступных способов.
3.4. Уничтожение персональных данных.
3.4.1. Уничтожение бумаг или прочих носителей, где содержатся данные, осуществляется путем сжигания, дроблением (измельчением), химическим разложением, превращением в бесформенную массу либо порошок. Уничтожение бумажных документов допустимо производить посредством офисного шредера.
3.4.2. Электронные носители данных очищаются путем стирания либо форматирования.
3.4.3. По факту безвозвратного физического уничтожения баз собранных данных обязательно составление об этом соответствующего акта для документального засвидетельствования произведённых действий.
3.5. Передача персональных данных.
3.5.1. Основанием для передачи данных о посетителях интернет-портала другим физлицам и структурам является соблюдение любого из обозначенных ниже условий:
- согласие субъекта на такие действия;
- положения законодательных актов, предписывающих проведение подобных процедур.
3.5.2. Положения документов, действующих в части защиты персональных данных, предусматривают возможность законной передачи определённых сведений интернет-порталом в ниже приведенные государственные структуры:
- Пенсионный фонд;
- налоговую;
- Фонд социального страхования;
- территориальный фонд медицинского страхования;
- организациям, осуществляющим медицинское страхование.
С целью реализации зарплатных проектов, некоторые сведения передаются во исполнение договорных обязательств в отделения банков. Действующая законодательная база предполагает также передачу запрашиваемой информации в структурные подразделения МВД России.
Сведения в виде, исключающем идентификацию личностей посетителей интернет-портала, отдаются в работу контрагентам.
4. Меры и инструменты для защиты персональных данных
4.1. Для реализации норм государственной законодательной базы Сайт создал многоуровневую защитную систему, что состоит из целого ряда профильных структур.
4.1.1. Блок правовой защиты. Представлен комплектом документов различных сфер влияния, которые обеспечивают непосредственно создание, функционирование и улучшение защитной системы.
4.1.2. Блок организационной защиты. Объединяет структуру управления всем защитным комплексом, разрешительную систему и комплекс мероприятий по обеспечению сохранности информации при работе с посторонними лицами (сотрудниками, партнерами и т. д.).
4.1.3. Подсистема технической защиты включила в себя технические, программные и программно-аппаратные средства, обеспечивающие защиту персональных данных.
4.2. Основные меры и инструменты защиты данных, которые используются Сайтом:
4.2.1. Определение лица, ответственного за процессы организации эффективной и безопасной работы со сведениями. Им же под роспись осуществляется ознакомление работников с существующей политикой и проводятся мероприятия для контроля за реализацией её положений.
4.2.2. Предотвращение ситуаций, несущих актуальную угрозу безопасности баз данных в процессе работы с последними. Определение спектра мероприятий и эффективных инструментов для реализации качественной защиты сведений от этих факторов.
4.2.3. Утверждение и постоянная модернизация политики безопасности, распространяющей своё влияние на весь комплекс операций с данными и их хранение.
4.2.4. Утверждение принципов многоуровневого доступа к архивам данных и ведение сквозной регистрации и строгого учёта любых операций, проводимых в системе.
4.2.5. Ограничение входа в систему, содержащую архивы данных, секретными паролями. Комбинации символов индивидуальны для ответственных лиц. Уровень доступа диктуется рабочими обязанностями, перечень которых прописан в должностных инструкциях.
4.2.6. Внедрение проверенных и эффективных инструментов информационной безопасности, получивших в утверждённом порядке оценки соответствия.
4.2.7. Внедрение и активная эксплуатация ПО, обеспечивающего перехват вирусных атак. Приоритетны лицензионные версии и регулярное обновление их баз.
4.2.8. Обеспечение внешних условий, способствующих безопасному хранению собранной информации и предотвращающих неправомочный вход внутрь системы.
4.2.9. Обнаружение и фиксация фактов проникновения в архив лиц, не наделённых полномочиями на подобные операции, и реализация комплекса мероприятий, исключающих эти ситуации в будущем.
4.2.10. Восстановление сведений, повреждённых либо удалённых вследствие получения неправомочного доступа внутрь системы посторонних лиц.
4.2.11. Проведение для работников, ведущих непосредственную работу с архивами данных, мероприятий для знакомства с положениями базы государственных нормативных актов, диктующих её правила. Изучение документов локального действия, определяющих принципы внутреннего обеспечения безопасности архивов и действующую Политику.
4.5.12. Проведение разностороннего аудита и регулярного контроля за следованием действующим внутри структуры правилам.
5. Права субъектов персональных данных и обязанности Сайта
5.1. Основные права субъектов персональных данных.
- Всякий субъект, передавший сведения о себе, получает право беспрепятственного доступа к ним на Сайте. Также ему доступна информация:
- о подтверждении обработки его данных;
- о причинах, юридических основаниях и целях, что преследует Сайт, выполняя какие бы то ни было манипуляции с данными;
- о методологии и инструментах, посредством которых Сайтом осуществляются действия с собранными сведениями;
- о полном, закреплённом документально названии и расположении Сайта;
- о лицах (исключая работающих в штате Сайта), что будут иметь возможность обработки информации из его архивов, либо которым она будет предоставлена в рамках соблюдения договорных обязательств или в условиях действующего правового поля;
- о длительности и крайних сроках, до наступления которых будет осуществляться работа с данными и их хранение во внутренних архивах;
- о правилах, возможностях и процедуре реализации собственных прав субъектом данных, в соответствии с нормами существующего законодательства;
- при санкционированной передаче собранной информации другим лицам, о наименовании последних (либо ФИО для физлиц) и адресе их фактического местоположения;
- о порядке обращения к Сайту и процедуре направления в его адрес запросов;
- о процедуре обжалования действий или бездействия Сайта.
5.2. Обязанности Сайта.
Не противореча существующему законодательству, Сайт несёт следующие обязательства:
- получая нужные ему данные, со своей стороны разъясняет субъекту, для каких целей ведётся сбор сведений, а также сообщает об инструментах и способах последующей работы с ними;
- уведомлять субъект о получении его персональных данных в случае, когда они переданы Сайту другими лицами;
- разъяснять физлицам, какими последствиями отягощён отказ от предоставления требуемых сведений;
- опубликовать либо иначе предоставить открытый доступ к нормативно-правовому акту, регламентирующему Политику Сайта, и к сведениям о принимаемых Сайтом мероприятиях по осуществлению бесперебойной защиты архивов;
- реализовывать своими силами или с помощью других лиц весь комплекс мероприятий в правовом поле, в части организации и технического обеспечения по защите собранных сведений от любых неправомочных действий;
- предоставлять ответы по запросам субъектов полученных данных или лиц, уполномоченных на такие действия, а также органов, которые обеспечивают защиту их прав.