Политика в области обеспечения безопасности

персональных данных ООО «КСА»

(редакция от 01.03.2021 г.)


1. Общие положения

1.1. Настоящая Политика в области обеспечения безопасности персональных данных ООО «КСА» (далее - Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика действует в отношении всех персональных данных, которые обрабатывает Общество с ограниченной ответственностью «Комплексные системы автоматизации» (далее - Оператор, ООО «КСА»).

1.3. Политика характеризуется следующими признаками:

1.4. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора после утверждения настоящей Политики.

1.5. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.

1.6. Руководство ООО «КСА» уделяет первостепенное внимание вопросам обеспечения защиты информации и обеспечения безопасности персональных данных пользователей информационных систем, клиентов и работников ООО «КСА».

1.7.Стратегической задачей Оператора является развитие и совершенствование системы защиты персональных данных пользователей информационных систем, клиентов и работников ООО «КСА» в соответствии с требованиями законодательства РФ.


2. Термины и определения

Для целей настоящей Политики используются следующие понятия:

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

Персональные данные, разрешенные субъектом персональных данных для распространения – это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств.

Обработка персональных данных включает в себя в том числе:

Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники.

Распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц.

Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе персональных данных (далее – ИСПДн) и (или) в результате которых уничтожаются материальные носители ПДн.

Обезличивание ПДн – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.

Информационная система персональных данных – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.


3. Информация об операторе

Наименование: Общество с ограниченной ответственностью «Комплексные системы автоматизации».

ИНН: 5902038509

Юридический адрес: 614015, г. Пермь, ул. Монастырская, д. 14, офис 380

Фактический адрес: 614015, г. Пермь, ул. Монастырская, д. 14, офис 380

Телефон/факс: 8-800-333-98-60.

Реестр операторов персональных данных:

http://rkn.gov.ru/personal-data/register/?id=59-17-003605, Приказ № 31 от 26.02.2017 г.



4. Правовые основания обработки ПДн

Политика Оператора в области обработки ПДн, а также основание для обработки ПДн определяются в соответствии со следующими нормативными правовыми актами Российской Федерации:

Во исполнение настоящей Политики руководящим органом Оператора утверждены следующие локальные нормативные акты, являющиеся правовым основанием обработки Оператором ПДн:

Правовым основанием обработки ПДн Оператором также являются:


5. Цели обработки ПДн

Оператор обрабатывает ПДн исключительно в следующих целях:

Не допускается обработка ПДн, несовместимая с целями сбора персональных данных.


6. Категории обрабатываемых ПДн, источники их получения

В зависимости от Субъекта персональных данных, Оператор обрабатывает персональные данные следующих категорий субъектов ПДн:

- персональные данные контрагентов Оператора, представленные индивидуальными предпринимателями, их работниками; учредителями, руководителями, представителями (лицами, действующими на основании доверенностей) и работниками юридических лиц, имеющих или имевших договорные отношения с Оператором, либо желающие заключить договоры с Оператором;

- персональные данные посетителей Оператора;

- персональные данные лиц, направивших письмо на официальную почту Оператора;

- персональные данные пользователей информационных систем персональных данных ООО "КСА", а именно:

- учащиеся (обучающиеся) учреждений (организаций) всех видов и типов (государственных и частных, дошкольного, общего, среднего, дополнительного образования и пр.) в сфере образования (далее по тексту – учащиеся);

- законные представители учащихся;

- директора учреждений (организаций) всех видов и типов (государственных и частных, дошкольного, общего, среднего, дополнительного образования и пр.) в сфере образования (далее по тексту – учреждения);

- классные руководители, руководители групп учреждений, работники учреждений, ответственные за организацию питания, оказание услуг учащимся и другие работники учреждений,

- директора организаций всех типов и видов, внедрившие системы учета питания, услуг, библиотеки ООО «КСА» (далее по тексту – предприятия), руководители структурных подразделений, групп предприятий, другие работники предприятий;

- директора организаций, индивидуальные предприниматели (далее по тексту – ИП), организующие питание в учреждении (далее по тексту – комбинаты питания), работники комбинатов питания.


В ООО «КСА» обрабатываются следующие категории персональных данных:

- персональные данные общей категории, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным.


Конкретный перечень ПДн и субъектов ПДн ООО «КСА» определяется в локальном акте Оператора - Перечень персональных данных, обрабатываемых в ООО «Комплексные системы автоматизации», утверждаемом приказом директора ООО «КСА».


Источники поступления ПДн:


В число первичной документации, содержащей ПДн субъектов персональных данных могут включаться:


ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:

При сборе персональных данных, в том числе посредством информационно телекоммуникационной сети интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.

Если ПДн Субъекта можно получить через третью сторону, Оператор заранее уведомляет его об этом. Субъект должен предоставить свое письменное согласие. Третьи лица должны иметь согласие Субъекта на передачу его ПДн Оператору.

Оператор может собирать обезличенные ПДн для статистики и в других случаях, предусмотренных в части 2 ст. 22 федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».


7. Порядок и условия обработки, хранения и уничтожения ПДн

Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.

Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

Оператор вправе поручить обработку персональных данных другому лицу только с согласия субъекта ПДн, если иное не предусмотрено федеральным законом. При этом Оператор обязывает лицо, осуществляющее обработку персональных данных по поручению, соблюдать принципы и правила обработки персональных данных, предусмотренные федеральным законом.

В случае если Оператор поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Оператор. Лицо, осуществляющее обработку ПДн по поручению Оператора, несет ответственность перед Оператором.

Оператор обязуется и обязывает иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.

К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.

Обработка персональных данных осуществляется путем:

Обработка ПДн (в том числе хранение ПДн) осуществляется в течение срока действия соответствующего согласия субъекта ПДн и до окончания обучения в учреждении, увольнения работника Оператора, окончания срока действия договора, но не позднее истечения сроков хранения соответствующей информации или документов, содержащих указанную информацию, определяемых в соответствии с законом РФ. Так, ПДн уволенных сотрудников Оператора обрабатываются в течение 3-х лет после увольнения работника, а после архивирования – в течение 50 лет.

Обработка персональных данных также прекращается в случаях:

- достижения целей обработки ПДн,

- истечения срока обработки ПДн, предусмотренного федеральным законодательством, договором или согласием субъекта ПДн на обработку его персональных данных;

- при отзыве субъектом ПДн его согласия на обработку ПДн, в случаях, не противоречащих требованиям федерального законодательства;

- в случае подтверждения факта неточности ПДн или неправомерности их обработки.


ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.

ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся на серверах в ИСПД.

Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.

Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором или соглашением.

Хранение ПДн, собранных для разных целей обработки, осуществляется раздельно.

Хранение ПДн Субъекта производится не дольше, чем это нужно для цели их обработки. После достижения цели обработки Пдн, они подлежат уничтожению или обезличиванию.

Согласия на обработку ПДн пользователей ИСПД Оператора хранятся в течение срока их действия, а после архивирования – еще три года.


После обработки ПДн они подлежат уничтожению или обезличиванию.

Уничтожение документов (носителей), содержащих ПДн, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

ПДн на электронных носителях уничтожаются путем стирания или форматирования носителя.

Факт уничтожения ПДн подтверждается документально актом об уничтожении носителей.

Уничтожение ПДн производится в сроки, установленные федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», заключенным между Оператором и Субъектом договором и Согласием Субъекта на обработку ПДн.


8. Основные принципы обработки, передачи ПДн

Обработка персональных данных осуществляется с учетом необходимости обеспечения защиты прав и свобод клиентов и работников Оператора, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Оператор в своей деятельности обеспечивает соблюдение принципов обработки ПДн, указанных в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Оператор не осуществляет обработку биометрических ПДн (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).

Оператор не осуществляет обработку специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Оператор осуществляет обработку иных категорий ПДн.

Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу ПДн.


9. Передача персональных данных

В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов ПДн Оператор в ходе своей деятельности осуществляет информационный обмен ПДн со следующими организациями:

Оператор не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов ПДн третьим лицам без письменного согласия субъекта ПДн, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровья, а также в случаях, установленных федеральным законом.

Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.


10. Меры по обеспечению безопасности ПДн при их обработке

Оператор при обработке ПДн принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них.


В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.

Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.

Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.

Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.


Основными мерами защиты ПД, используемыми Оператором, являются:


11. Права субъектов персональных данных

В соответствии с № 152-ФЗ «О персональных данных» субъект персональных данных имеет право:

1. получить сведения, касающиеся обработки ПДн Оператором, а именно:


2. потребовать от Оператора в установленной форме уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными; устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

3. заявить возражение против принятия в отношении себя решений, порождающих юридические последствия на основе исключительно автоматизированной обработки персональных данных;

4. отозвать любое согласие на обработку персональных данных в предусмотренных законом случаях;

5. обжаловать неправомерные действия или бездействие Оператора при обработке его персональных данных путем обращения в уполномоченный орган по защите прав субъектов персональных данных;

6. право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами РФ.

Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.


12. Актуализация, исправление, удаление и уничтожение персональных данных


В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:


13. Контроль н надзор за обработкой персональных данных

Ответственным за организацию обработки и обеспечения безопасности персональных данных в ООО «Комплексные системы автоматизации» является лицо, назначенное приказом директора ООО «Комплексные системы автоматизации».

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных», является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.


14. Нарушение политики и ответственность

Оператор несет ответственность за соответствие обработки и обеспечения безопасности персональных данных законодательству РФ. Все работники Оператора, осуществляющие обработку персональных данных, несут ответственность за соблюдение настоящей Политики и иных локальных актов Оператора по вопросам обработки и обеспечения безопасности персональных данных.

Любые нарушения настоящей Политики и иных локальных актов Оператора по вопросам обработки и обеспечения безопасности ПДн будут расследоваться в соответствии с действующими в ООО «КСА» процедурами.

Лица, признанные виновными в нарушении установленных порядка и процедур обработки и обеспечения безопасности ПДн, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством РФ.


Заключительные положения

Настоящая Политика утверждается директором ООО «Комплексные системы автоматизации».

Настоящая Политика является общедоступным документом и подлежит размещению на сайте Оператора.

Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения и размещения на сайте Оператора, если иное не предусмотрено новой редакцией Политики.