Настоящая Политика является общедоступной и подлежит размещению на информационном стенде в офисе Общества.

Требования данной Политики являются обязательными для исполнения всеми работниками Общества.

В данном документе используются следующие термины, определения и сокращения:

Автоматизированная обработка персональных данных

обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных

временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Информационная система персональных данных (ИСПД)

совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Материальный носитель ПД

бумажный, электронный, машинный и прочие носители информации, используемые для воспроизведения (в том числе копирования, скачивания, сохранения, записи) и/или хранения информации, содержащей ПД, обрабатываемой в автоматизированном виде (с использованием средств вычислительной техники) и не автоматизированном виде (без использования средств вычислительной техники).

Обезличивание персональных данных

действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных

любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Общество

Общество с ограниченной ответственностью «Производственная компания Ижсинтез-Химпром» (ООО «ПК Ижсинтез-Химпром»).

Оператор персональных данных

государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В контексте настоящей Политики Общество является оператором персональных данных.

Персональные данные (ПД)

любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

Потенциальный клиент

физическое лицо, с которыми нет договорных отношений, но информация для идентификации таких лиц имеется в системах учёта ООО «ПК Ижсинтез-Химпром», в том числе с целью заключения договорных отношений.

Предоставление персональных данных

действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Работник

физическое лицо, вступившее в трудовые отношения с ООО «ПК Ижсинтез-Химпром».

Распространение персональных данных

действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Субъект персональных данных (субъект ПД)

физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.

Трансграничная передача персональных данных

передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных

действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Настоящая Политика разработана с учетом действующих норм международного права в области персональных данных в том числе международных договоров Российской Федерации, а также положений действующего законодательства Российской Федерации, в том числе следующих нормативных документов:

• Конституция Российской Федерации от 12.12.1993;
• Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
• Налоговый кодекс Российской Федерации от 31.07.1998 № 146-ФЗ;
• Федеральный закон Российской Федерации «О персональных данных» от 27.07.2006 № 152-ФЗ;
• Федеральный закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ;
• Федеральный закон от 08.02.1998 №14-ФЗ «Об обществах с ограниченной ответственностью»;
• Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
• Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
• Федеральный закон от 01.04.1996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• Федеральный закон от 17.12.2001 № 173-ФЗ «О трудовых пенсиях в РФ»;
• Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;
• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 24.11.1995 № 181-ФЗ «О социальной защите инвалидов в Российской Федерации»;
• Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
• Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
• Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;
• Постановление Правительства Российской Федерации от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
• Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Приказ Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных".

Обработка ПД в Обществе осуществляется на законной и справедливой основе.

Обработка ПД в Обществе ограничивается достижением конкретных, заранее определенных и законных целей. Общество не допускает обработку ПД, несовместимых с целями сбора ПД.

Общество при накоплении и обработке ПД не объединяет базы данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой.

Обработке в Обществе подлежат только ПД, которые отвечают целям их обработки.

Общество обеспечивает соответствие содержания и объема обрабатываемых ПД заявленным целям обработки. Общество контролирует, чтобы обрабатываемые ПД в Обществе не были избыточными по отношению к заявленным целям их обработки.

При обработке ПД Общество обеспечивает точность ПД, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПД.

Хранение ПД в Обществе осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют определенные в Обществе цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого, выгодоприобретателем, поручителем или представителем по которому является субъект персональных данных. В этом случае срок хранения ПД ограничивается сроком, установленным федеральным законом, договором, стороной которого, выгодоприобретателем, поручителем или представителем по которому является субъект персональных данных.

Общество в ходе своей деятельности может предоставлять персональные данные субъектов ПД третьим лицам в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». При этом обязательным условием предоставления ПД третьему лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности ПД при их обработке.

В случае, если Общество поручает обработку ПД другому лицу, ответственность перед субъектом ПД за действия указанного лица несет Общество. При этом Обществом устанавливается обязанность лиц, которым Общество поручает обработку ПД, по запросу в течение срока действия поручения на обработку ПД, в том числе до обработки ПД, предоставлять документы и иную информацию, подтверждающие принятие этими лицами мер и соблюдение в целях исполнения поручения Общества, установленных требований по обеспечению конфиденциальности и безопасности ПД.

Договоры, заключаемые Обществом, включают в себя условия, касающиеся соблюдения конфиденциальности и обеспечения безопасности передаваемых ПД, а также иные условия, предусмотренные законодательством Российской Федерации в области обработки ПД.

Кроме того, Общество обязано передавать ПД уполномоченным органам власти Российской Федерации в случаях, предусмотренных действующим законодательством Российской Федерации.

Общество, в процессе своей деятельности, может осуществлять трансграничную передачу ПД в соответствии и порядке определенном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

Общество, до начала осуществления деятельности по трансграничной передаче ПД, запрашивает от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача ПД, следующие сведения:

• сведения о принимаемых органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача ПД, мерах по защите передаваемых ПД и об условиях прекращения их обработки;
• информация о правовом регулировании в области ПД иностранного государства, под юрисдикцией которого находятся органы власти иностранного государства, иностранные физические лица, иностранные юридические лица, которым планируется трансграничная передача ПД (в случае, если предполагается осуществление трансграничной передачи ПД органам власти иностранного государства, иностранным физическим лицам, иностранным юридическим лицам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПД);
• сведения об органах власти иностранного государства, иностранных физических лицах, иностранных юридических лицах, которым планируется трансграничная передача ПД (наименование либо фамилия, имя и отчество (при наличие), а также номера контактных телефонов, почтовые адреса и адреса электронной почты).

Общество до начала осуществления деятельности по трансграничной передаче ПД уведомляет уполномоченный орган по защите прав субъектов ПД о своем намерении осуществлять трансграничную передачу ПД по форме, предусмотренной Федеральным Законом от 27.06.2006 № 152-ФЗ «О персональных данных».

После направления вышеуказанного уведомления, Общество вправе осуществлять трансграничную передачу ПД на территории указанных в таком уведомлении иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД или при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер по обеспечению конфиденциальности и безопасности ПД при их обработке, а также в случаях, если такая трансграничная передача ПД необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта ПД или других лиц. В иных случаях Общество не осуществляет трансграничную передачу ПД до истечения сроков принятия решения уполномоченным органом по защите прав субъектов ПД, предусмотренных Федеральным Законом от 27.06.2006 № 152-ФЗ «О персональных данных».

В случае принятия уполномоченным органом по защите прав субъектов ПД решения о запрещении или об ограничении трансграничной передачи ПД, Общество принимает меры для обеспечения уничтожения органом власти иностранного государства, иностранным физическим лицом, иностранным юридическим лицом ранее переданных им ПД.

При обработке ПД Общество предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности ПД от случайного или несанкционированного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от других неправомерных действий в отношении ПД, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и подзаконными актами в области защиты ПД.

Общество соблюдает обязанности оператора ПД, установленные статьями №№ 18-19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

В Обществе определены и реализуются следующие требования законодательства в области защиты ПД:

• требования о соблюдении конфиденциальности ПД;
• требования к защите ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
• требования об обязанности Общества при сборе ПД, установленных ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» Общество определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством в области ПД, в частности:

• Обществе назначены ответственные за обработку и защиту ПД;
• определены угрозы безопасности ПД при их обработке в информационных системах ПД;
• проводятся мероприятия в целях обнаружения фактов несанкционированного доступа к ПД и принятия соответствующих мер реагирования в соответствии с действующим законодательством Российской Федерации;
• определены мероприятия, направленные на восстановление ПД, в случае их модификации или уничтожения вследствие несанкционированного доступа к ним;
• ведется учет машинных носителей ПД;
• проводится оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию ИСПД;
• разработана система защиты информации для ИСПД, учитывающая требования подзаконных актов Российской Федерации в области защиты ПД и результаты моделирования угроз и нарушителей ИСПД;
• применяются средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия, для нейтрализации актуальных угроз безопасности;
• в Обществе изданы локальные акты по вопросам обработки ПД, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в области обработки ПД, процедуры, направленные на устранение последствий таких нарушений;
• проводится ознакомление работников, допущенных к обработке ПД субъектов ПД, с требованиями, установленными действующим законодательством Российской Федерации в области ПД, настоящей Политикой, а также локальными нормативными актами Общества и/или обучения указанных работников;
• организована надлежащая обработка ПД, осуществляемая с использованием средств автоматизации (в том числе, использование сертифицированного программного обеспечения, разграничение доступа к компьютерам, локальной сети, информационным системам, обрабатывающим персональные данные, установление порядка уничтожения ПД в информационных системах);
• организован надлежащий порядок работы с ПД, осуществляемый без использования средств автоматизации (в том числе, организация надлежащего хранения документов, содержащих ПД, установление порядка уничтожения либо обезличивания ПД, обрабатываемых без использования средств автоматизации);
• доступ работников к информации, содержащей ПД субъектов ПД, организован в соответствии с их должностными (функциональными) обязанностями;
• осуществляется внутренний контроль и (или) аудит соответствия обработки ПД Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, настоящей Политике, локальным актам Общества;
• проводится оценка вреда, который может быть причинен субъектам персональных данных в Обществе в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Хранение ПД в Обществе осуществляется в форме, позволяющей определить субъекта ПД не дольше, чем этого требуют цели обработки ПД, кроме случаев, когда срок хранения ПД не установлен федеральным законом, договором, стороной которого, выгодоприобретателем, поручителем или представителем, по которому является субъект ПД.

При осуществлении хранения ПД Общество использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Обработка ПД в Обществе, осуществляемая без использования средств автоматизации, проводится таким образом, чтобы в отношении каждой категории ПД можно было определить места хранения ПД (материальных носителей ПД) и установить перечень лиц, осуществляющих обработку ПД либо имеющих к ним доступ.

Общество обеспечивает раздельное хранение ПД (материальных носителей ПД), используемых для различных целей обработки, осуществляемой без использования средств автоматизации.

При хранении материальных носителей ПД соблюдаются условия, обеспечивающие сохранность ПД и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Обществом.