Политика в отношении обработки персональных данных в EVG Group Co.
- Введение.
1.1. Важнейшим условием реализации целей деятельности EVG Group Co. (далее EVG Group Co. либо Оператор) является обеспечение необходимого и достаточного уровня информационной безопасности информации, к которой, в том числе, относятся персональные данные.
1.2. Политика в отношении обработки персональных данных в EVG Group Co. (далее – Положение) определяет порядок сбора, хранения и иных видов обработки персональных данных в EVG Group Co. (далее – Компания), а также сведения о реализуемых требованиях к защите персональных данных.
1.3. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и настоящим Положением.
1.4. Политика разработана в соответствии с действующим законодательством РФ.
- Состав персональных данных и перечень действий с данными.
2.1. Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.2. Все обрабатываемые EVG Group Co. персональные данные являются конфиденциальной, строго охраняемой информацией в соответствии с законодательством.
2.3. Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных: Сбор, анализ, обобщение, хранение. Обработка персональных данных — смешанная.
- Цели обработки персональных данных.
3.1. Персональные данные обрабатываются EVG Group Co. в целях оформления трудовых и иных договорных отношений, кадрового, бухгалтерского, налогового учета, по основаниям, предусмотренным ст.22 Федерального закона от 27.06.2006 №152-ФЗ, ст. 86-90 Трудового кодекса РФ, а также в целях организации и проведения EVG Group Co. программ лояльности, маркетинговых и/или рекламных акций, исследований, опросов и иных мероприятий; оказания любых иных услуг субъектам персональных данных; продвижения услуг и/или товаров EVG Group Co. и/или партнеров EVG Group Co. на рынке путем осуществления прямых контактов с клиентами EVG Group Co. с помощью различных средств связи, в т.ч. не ограничиваясь, по телефону, электронной почте, почтовой рассылке, в сети Интернет и т.д.; в иных целях, не противоречащих действующему законодательству.
3.2. EVG Group Co. в целях надлежащего исполнения своих обязанностей Оператора обрабатывает следующие персональные данные, необходимые для надлежащего исполнения договорных обязательств:
– персональные данные работников Оператора, состоящих в трудовых отношениях с Оператором;
– персональные данные физических лиц, в том числе покупателей, участников программ лояльности, потребителей услуг.
- Порядок сбора, хранения и иных видов обработки персональных данных.
4.1. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей). Оператором установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. Оператор обеспечивает сохранность персональных данных и принимает меры, исключающие несанкционированный доступ к персональным данным.
4.2. Обработка персональных данных, осуществляемая с использованием средств автоматизации, проводится при условии выполнения следующих действий:
– Оператор проводит технические мероприятия, направленные на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации.
– Защитные инструменты настроены на своевременное обнаружение фактов несанкционированного доступа к персональным данным.
– Технические средства автоматизированной обработки персональных данных изолированы в целях недопущения воздействия на них, в результате которого может быть нарушено их функционирование.
– Оператор производит резервное копирование данных, с тем, чтобы иметь возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
– Осуществляет постоянный контроль за обеспечением уровня защищенности персональных данных.
4.3. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- Сведения о реализуемых требованиях к защите персональных данных.
5.1. Оператор проводит следующие мероприятия:
– определяет угрозы безопасности персональных данных при их обработке, формирует на их основе модели угроз; осуществляет разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
– формирует план проведения проверок готовности новых средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
– осуществляет установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
– проводит обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
– осуществляет учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
– осуществляет учет лиц, допущенных к работе с персональными данными в информационной системе; осуществляет контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
– вправе инициировать разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
– имеет описания системы защиты персональных данных.
5.2. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного Оператором.
Права и обязанности Оператора.
6.1. EVG Group Co. как Оператор персональных данных вправе:
– отстаивать свои интересы в суде;
– предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
– отказывать в предоставлении персональных данных в случаях предусмотренных законодательством;
– использовать персональные данные субъекта без его согласия, в случаях предусмотренных законодательством.
- Права и обязанности субъекта персональных данных.
7.1. Субъект персональных данных имеет право:
– требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
– требовать перечень своих персональных данных, обрабатываемых Оператором и источник их получения;
– получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
– обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
– на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
- Заключительные положения
8.1. Настоящая Политика подлежит при необходимости изменению, дополнению, в т.ч. в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
8.2. Настоящая Политика является внутренним документом EVG Group Co., и подлежит размещению на официальном сайте EVG Group Co. В случае изменений, доведение до неограниченного круга лица таких изменений осуществляется посредством размещения на официальном сайте EVG Group Co. Политики с учетом таких изменений.
8.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение безопасности персональных данных EVG Group Co.