Утверждена
Приказом Генерального директора ТОО «HOST.KZ»
Васильевой Е.А.
от «30» июня 2017 г.
1. Общие положения
1.1. Настоящая политика (далее - Политика) разработана в соответствии с законом и является внутренним документом ТОО «HOST.KZ» (далее - Общество), определяющим порядок действий в области обработки и защиты персональных данных, оператором которых является Общество.
1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в Обществе.
1.3. Положения Политики распространяются на отношения по обработке и защите персональных данных, полученных Обществом как до, так и после утверждения настоящей Политики, за исключением случаев, когда положения Политики не могут быть распространены на отношения по обработке и защите персональных данных, полученных до ее утверждения, по причинам правового, организационного и иного характера.
1.4. Положения настоящей Политики распространяются на случаи обработки и защиты персональных данных правопреемников и (или) представителей субъектов персональных данных, даже если эти лица во внутренних регулятивных документах прямо не упоминаются, но фактически участвуют в правоотношениях с Обществом.
2. Принципы, порядок обработки и состав персональных данных, обрабатываемых в Обществе
2.1. Обработка персональных данных в Обществе в соответствии с положениями настоящей Политики производится в связи с реализацией Обществом своих прав и обязанностей как юридического лица в ходе осуществления коммерческой деятельности
2.2. В связи с реализацией своих прав и обязанностей как юридического лица, Общество обрабатывает персональные данные физических лиц, являющихся контрагентами (возможными контрагентами) Общества по гражданско-правовым договорам, персональные данные руководителей, членов коллегиальных исполнительных органов и представителей юридических лиц, персональные данные граждан, письменно обращающихся в Общество по вопросам его деятельности, а также персональные данные иных физических лиц, если это необходимо для осуществления Обществом своей коммерческой деятельности.
2.3. Персональные данные получаются и обрабатываются Обществом на основании федеральных законов и иных нормативных правовых актов Российской Федерации, а в необходимых случаях - при наличии письменного согласия субъекта персональных данных.
2.4. В целях исполнения возложенных на Общество функций Общество в установленном порядке вправе поручить обработку персональных данных третьим лицам.
В договоры с лицами, которым Общество поручает обработку персональных данных, включаются условия, обязывающие таких лиц соблюдать предусмотренные законодательством требования к обработке и защите персональных данных.
2.5. Общество предоставляет обрабатываемые им персональные данные государственным органам и организациям, имеющим, в соответствии с федеральным законом, право на получение соответствующих персональных данных.
2.6. В Обществе не производится обработка персональных данных, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки персональных данных в Обществе, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Обществом персональные данные уничтожатся или обезличиваются.
2.7. При обработке персональных данных обеспечиваются их точность, достаточность, а при необходимости - и актуальность по отношению к целям обработки. Общество принимает необходимые меры по удалению или уточнению неполных или неточных персональных данных.
2.8. Основной задачей обеспечения безопасности персональных данных при их обработке в Обществе является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки.
2.9. Для обеспечения безопасности персональных данных Общество руководствуется следующими принципами:
1) законность: защита персональных данных основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты персональных данных;
2) системность: обработка персональных данных в Обществе осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных;
3) комплексность: защита персональных данных строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Общества (далее - ИС) и других имеющихся в Обществе систем и средств защиты;
4) непрерывность: защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки персональных данных, в том числе при проведении ремонтных и регламентных работ;
5) своевременность: меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки;
6) преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты персональных данных осуществляется на основании результатов анализа практики обработки персональных данных в Обществе с учетом выявления новых способов и средств реализации угроз безопасности персональных данных, отечественного и зарубежного опыта в сфере защиты информации;
7) персональная ответственность: ответственность за обеспечение безопасности персональных данных возлагается на Работников в пределах их обязанностей, связанных с обработкой и защитой персональных данных;
8) минимизация прав доступа: доступ к персональных данных предоставляется Работникам только в объеме, необходимом для выполнения их должностных обязанностей;
9) гибкость: обеспечение выполнения функций защиты персональных данных при изменении характеристик функционирования информационных систем персональных данных Общества (далее – ИС персональных данных), а также объема и состава обрабатываемых персональных данных;
10) открытость алгоритмов и механизмов защиты: структура, технологии и алгоритмы функционирования системы защиты персональных данных Общества (далее – СЗ персональных данных) не дают возможности преодоления имеющихся в Обществе систем защиты возможными нарушителями безопасности персональных данных;
11) научная обоснованность и техническая реализуемость: уровень мер по защите персональных данных определяется современным уровнем развития информационных технологий и средств защиты информации;
12) специализация и профессионализм: реализация мер по обеспечению безопасности персональных данных и эксплуатация СЗ персональных данных осуществляются Работниками, имеющими необходимые для этого квалификацию и опыт;
13) эффективность процедур отбора кадров и выбора контрагентов: кадровая политика Общества предусматривает тщательный подбор персонала и мотивацию Работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности персональных данных; минимизация вероятности возникновения угрозы безопасности персональных данных, источники которых связаны с человеческим фактором, обеспечивается получением наиболее полной информации о контрагентах Общества до заключения договоров;
14) наблюдаемость и прозрачность: меры по обеспечению безопасности персональных данных должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;
15) непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты персональных данных, а результаты контроля регулярно анализируются.
3. Доступ к обрабатываемым персональным данным
3.1. Доступ к обрабатываемым в Обществе персональным данным имеют лица, уполномоченные приказом Общества, лица, которым Общество поручило обработку персональных данных на основании заключенного договора, а также лица, чьи персональные данные подлежат обработке.
3.2. Доступ Работников к обрабатываемым персональным данным осуществляется в соответствии с их должностными обязанностями и требованиями внутренних регулятивных документов Общества.
3.3. Порядок доступа субъекта персональных данных к его персональным данным, обрабатываемым Обществом, определяется в соответствии с законодательством.
4. Меры по защите персональных данных
4.1. Общество принимает правовые, организационные и технические меры (или обеспечивает их принятие), необходимые и достаточные для обеспечения исполнения обязанностей, предусмотренных и принятыми в соответствии с ним нормативными правовыми актами, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
4.2. Состав указанных в настоящей Политике мер, включая их содержание и выбор средств защиты персональных данных, определяется исходя из требований и принятых в соответствии с ним нормативных правовых актов.
4.3. В предусмотренных законодательством случаях обработка персональных данных осуществляется Обществом с согласия субъектов персональных данных.
Обществом производится устранение выявленных нарушений законодательства об обработке и защите персональных данных.
4.4. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели обработки персональных данных, если срок хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
4.5. Обществом осуществляется ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе требованиями к защите персональных данных, настоящей Политикой и иными внутренними регулятивными документами по вопросам обработки персональных данных.
4.6. Обеспечение безопасности персональных данных в Обществе при их обработке в ИС персональных данных достигается в Обществе, в частности, путем:
1) определения угроз безопасности персональных данных. Тип актуальных угроз безопасности персональных данных и необходимый уровень защищенности персональных данных определяются в соответствии с требованиями законодательства;
2) определения состава и содержания мер по обеспечению безопасности персональных данных, выбора средств защиты информации.
3) применения организационных и технических мер по обеспечению безопасности персональных данных, необходимых для выполнения требований к защите персональных данных.