Политика обработки персональных данных

Политика Акционерного общества «Системы Телеком»

в области обработки и защиты персональных данных

Настоящая политика в области обработки и защиты персональных данных Акционерным обществом «Системы Телеком» (далее – АО «СТ», Общество) разработана в целях обеспечения реализации требований законодательства РФ в области обработки персональных данных.

Политика раскрывает категории персональных данных, обрабатываемых Оператором, цели, способы и принципы обработки персональных данных, права и обязанности Оператора при обработке персональных, права субъектов персональных данных, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке.

Настоящая Политика является общедоступным документом, декларирующим основы деятельности Оператора при обработке персональных данных.

1. Общие положения

1.1. Информация об Операторе:

Наименование: Акционерное общество «Системы Телеком»

ИНН: 5405331680

Юридический адрес: 630099, г. Новосибирск, ул. Орджоникидзе, д. 47, офис 108.

Обособленное подразделение: 650061, г. Кемерово, пр. Шахтеров, д. 74Б, оф. 185.

Тел.: (3842) 46-20-20

E-mail:

Официальный сайт:

Регистрационный номер в реестре операторов персональных данных – 10-0108520, Приказ №363 от 08.06.2010г.

1.2. В настоящей Политике используются следующие понятия:

Персональные данные (далее – ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – АО «СТ», самостоятельно организующее и (или) осуществляющее обработку ПДн, а также определяющая цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

Субъекты ПДн – определенное или определяемое физическое лицо.

Абонент – пользователь услугами связи, с которым заключен договор об оказании таких услуг.

Пользователь сайта - физическое лицо, пользователь услуг сайта, субъект ПДн, добровольно предоставивший ПДн необходимые для пользования сайтом, подачи заявки на подключение, регистрации личного кабинета.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с ПДн, совершаемых с использованием средств автоматизации или без их использования. Обработка ПДн включает в себя, в том числе сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники.

Предоставление персональных данных – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.

Информационная система персональных данных – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

Защита персональных данных – комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации субъекту ПДн.

Конфиденциальность персональных данных – обязательное для выполнения Оператором или иным лицом, получившим доступ к ПДн, требование не допускать раскрытия ПДн третьим лицам, и их распространение без согласия субъекта ПДн или наличия иного законного основания.

1.3. Политика Оператора в области обработки ПДн определяется в соответствии со следующими законодательными и нормативными правовыми актами РФ:

Конституция РФ;

Трудовой кодекс РФ;

Гражданский кодекс РФ;

Федеральный закон №152-ФЗ от 27.07.2006г. «О персональных данных»;

Федеральный закон №149-ФЗ от 27.07.2006г. «Об информации, информационных технологиях и защите информации»;

Федеральный закон №126-ФЗ от 07.07.2003г. «О связи»;

а также в соответствии с трудовыми договорами или иными соглашениями между Оператором и сотрудником, договорами гражданско-правового характера с иными субъектами ПДн; согласием субъекта ПДн на обработку ПДн, локальными нормативными актами Оператора, принятыми на основании и в соответствии с требованиями законодательства РФ в области ПДн.

2. Принципы обработки персональных данных

2.1. Оператор в своей деятельности по обработке ПДн руководствуется следующими принципами:

обработка ПДн должна осуществляться на законной и справедливой основе;

обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей;

не допускается обработка ПДн, несовместимая с целями сбора ПДн;

не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

допускается обработка исключительно тех ПДн, которые отвечают целям их обработки;

содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки;

не допускается обработка ПДн, избыточных по отношению к заявленным целям обработки;

при обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Неполные или неточные данные должны быть удалены или уточнены;

хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если иной срок хранения ПДн не установлен законодательством РФ, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн.

по достижении целей обработки или в случае утраты необходимости в достижении этих целей, по законному требованию субъекта ПДн или уполномоченных органов судебной и исполнительной власти ПДн должны быть уничтожены или обезличены, если иное не предусмотрено законодательством РФ в области ПДн.

3. Категории субъектов персональных данных

3.1. Для целей настоящей Политики Оператор осуществляет обработку ПДн следующих категорий субъектов:

абоненты (клиенты) Оператора, заключившие договор с Оператором на оказание услуг связи, представители абонентов, пользователи услуг связи, оказываемых Оператором;

физические лица, имеющие намерение воспользоваться услугами Оператора;

сотрудники Оператора, бывшие сотрудники, ранее имевшие договорные отношения с Оператором, а также их родственники;

соискатели вакансий, предлагаемых Оператором;

работники контрагентов по гражданско-правовым договорам, заключенным с Оператором;

пользователи интернет сайта Оператора;

физические лица, обратившиеся по иным вопросам, связанным с хозяйственной деятельностью Оператора.

3.2. Оператором производится обработка следующих ПДн: фамилия, имя, отчество, данные документа, удостоверяющего личность, дата рождения, адрес регистрации, почтовый адрес, адрес электронной почты, контактный телефон. Обработка иных категорий ПДн осуществляется Оператором при наличии согласия субъекта ПДн.

4. Цели обработки персональных данных

4.1. Персональные данные обрабатываются Оператором для следующих целей:

взаимодействие в рамках заключенных договоров об оказании услуг связи (абоненты, пользователи).

поиск сотрудников, постановка в кадровый резерв (соискатели, уволенные сотрудники).

взаимодействие с сотрудниками в рамках трудового договора.

взаимодействие в рамках договоров с контрагентами (работники контрагентов).

продвижение услуг Оператора (физические лица, имеющие намерение заключить договор с Оператором).

доступ на объекты Оператора и обеспечение безопасности (посетители, сотрудники, работники контрагентов).

выполнения требований законодательных актов, нормативных документов (абоненты, пользователи, сотрудники).

осуществление абонентского, сервисного и справочно-информационного обслуживания физических лиц (физические лица, обращающиеся на горячую линию, физические лица, направляющие заявления и обращения).

предоставление доступа (в т.ч. регистрации) к сервисам (личный кабинет) на сайте Оператора (пользователи интернет сайта).

4.2. Оператором не собираются и не обрабатываются специальные категории ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, частной жизни субъектов ПДн, а также биометрические ПДн.

5. Порядок и условия обработки персональных данных

5.1. Оператор при обработке ПДн принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении них. Обеспечение безопасности ПДн достигается, в частности, следующими способами:

назначение ответственного за организацию обработки ПДн;

утверждение руководителем Оператора локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;

осуществление внутреннего контроля соответствия обработки ПДн Федеральному закону №152-ФЗ от 27.07.2006г. «О персональных данных» и принятым в соответствии с ним нормативным правовым актом, требованиям к защите ПДн;

ознакомление работников Оператора, непосредственно осуществляющих обработку ПДн, с требованиями законодательства РФ о ПДн, в том числе требований к защите ПДн, локальными актами в отношении обработки ПДн, и обучением указанных сотрудников;

выполнение требований, установленных постановлением Правительства РФ №687 от 15.09.2008г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и постановлением Правительства РФ №1119 от 01.11.2012г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» при обработке персональных данных, осуществляемой без использования средств автоматизации»;

применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

учет машинных носителей ПДн;

выявление фактов несанкционированного доступа к ПДн и принятие мер;

восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

установление правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечением регистрации и учета всех действий, совершаемых в информационной системе ПДн;

иные способы, позволяющие обеспечить безопасность ПДн.

5.2. Обработка ПДн может осуществляться Оператором как с использованием, так и без использования средств автоматизации.

5.3. Автоматизированная обработка ПДн должна осуществляться в ИСПДн Компании в строгом соответствии с настоящей Политикой. Доступ к ИСПДн предоставляется уполномоченным сотрудникам только для исполнения ими своих должностных обязанностей.

5.4. Неавтоматизированная обработка ПДн должна осуществляться таким образом, чтобы ПДн обособлялись от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах и иными способами.

5.5. Началом срока обработки ПДн абонента, представителя контрагента является дата заключения договора; пользователя сайта - дата регистрации на сайте либо подачи заявки на подключение, соискателя вакансий – предоставления последним резюме, а датой начала обработки ПДн сотрудников — начало действия трудового договора.

5.6. Оператором устанавливаются следующие сроки обработки и хранения ПДн:

ПДн, обрабатываемые в целях основной деятельности — в течение срока действия гражданско-правового договора и срока исковой давности после его завершения, если иной срок не установлен законодательством РФ;

ПДн, обрабатываемые в связи с трудовыми отношениями, — в течение действия трудового договора и 75 лет после завершения действия трудового договора;

персональные данные соискателей на вакантные должности, в том числе и тех, кто не был оформлен на работу, — 1 год с момента вынесения отрицательного решения.

5.7. ПДн, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено законодательством РФ или нормативными документами Оператора. Хранение ПДн после истечения срока хранения допускается только после их обезличивания.

5.8. Дата прекращения срока обработки ПДн определяется наступлением одного из следующих событий, если:

достигнуты цели обработки ПДн;

истек срок действия согласия субъекта или он отозвал согласие на обработку ПДн;

обнаружена неправомерная обработка ПДн;

прекращена деятельность Оператора.

6. Конфиденциальность персональных данных

6.1. Информация, относящаяся к ПДн, ставшая известной Оператору, является конфиденциальной информацией и охраняется законом.

6.2. Обработка ПДн осуществляется сотрудниками Оператора. Обработка ПДн другими лицами по поручению Оператора не предусмотрена.

Сотрудники Оператора, получившие доступ к обрабатываемым ПДн, подписали обязательство о неразглашении конфиденциальной информации, а также предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства РФ в области обработки ПДн.

7. Права субъектов персональных данных

7.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

подтверждение факта обработки ПДн Оператором;

правовые основания и цели обработки ПДн;

применяемые Оператором способы обработки ПДн;

наименование и место нахождения Оператора, сведения о лицах (за исключением работников), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании законодательства РФ;

обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством РФ;

сроки обработки ПДн, в том числе сроки их хранения;

порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных»;

иные сведения, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных» или другими федеральными законами.

7.2. Право субъекта ПДн на доступ к своим ПДн может быть ограничено в случаях, установленных требованиями законодательства РФ.

7.3. Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7.4. Если субъект ПДн считает, что Компания осуществляет обработку его ПДн с нарушением требований Федерального закона №152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Оператора в органе по защите прав субъектов ПДн (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор) или в судебном порядке.

7.5. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

7.6. Сведения предоставляются субъекту ПДн или его представителю при поступлении обращений (заявление, жалоба, запрос).

Обращение от субъекта ПДн должно содержать:

- сведения, позволяющие установить субъекта ПДн (ФИО, реквизиты документа и иные сведения), а в случае участия представителя субъекта, данные о представителе и основании его участия;

- сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (номер и дата договора), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором;

- подпись субъекта ПДн или его представителя.

7.7. Обращение от субъекта ПДн или его представителя может быть направлено путем почтового отправления в адрес Оператора (почтовый адрес: 650061, г. Кемерово, пр. Шахтеров, 74Б, оф. 185), при личном обращении в офисы Оператора, или в электронной форме на e-mail: .

7.8. Компания в течение 30 (тридцати) дней со дня получения заявления субъекта ПДн сообщает ему информацию о наличии ПДн и предоставляет возможность ознакомления с ними.

7.9. Субъекту ПДн или его представителю безвозмездно представляется возможность ознакомления с ПДн, относящимися к соответствующему субъекту ПДн, при необходимости внесение в них необходимых уточнений.

7.10. В случае предоставления субъектом ПДн фактов о неполных, устаревших, недостоверных или незаконно полученных ПДн Оператор обязан внести необходимые изменения, уничтожить или блокировать их, а также уведомить о своих действиях субъекта ПДн.

В случае подтверждения факта неточности в персональных данных они подлежат актуализации Оператором, а при неправомерности их обработки такая обработка должна быть прекращена.

Субъект ПДн, в целях уточнения и актуализации своих ПДн, обязан своевременно представлять Оператору информацию об изменении своих ПДн.

8. Заключительные положения

8.1. Политика утверждается руководителем Оператора.

8.2. Действующая редакция Политики находится на официальном сайте Оператора в информационно-телекоммуникационной сети «Интернет» по адресу: .

С момента вступления в силу настоящей редакции Политики предыдущую ее редакцию считать недействительной.

8.2. При изменении законодательства РФ и по необходимости данная Политика подлежит пересмотру.

8.3. Настоящая Политика обязательна для соблюдения и подлежит ознакомлению всеми сотрудниками, размещению на информационном стенде офисов Оператора, а также публикации на официальном сайте Оператора.