УТВЕРЖДЕНА Приказом Генерального директора ООО «Гейм Системс» №45 от 01.10.2021 г.
ПОЛИТИКА В ОБЛАСТИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
(ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ)
1. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящая политика в области обработки и защиты персональных данных ООО «Гейм Системс» (далее по тексту – Компания) разработана в целях обеспечения реализации требований законодательства РФ в области обработки персональных данных субъектов персональных данных и является общедоступным документом, декларирующим концептуальные основы деятельности оператора при обработке персональных данных. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Компании с применением средств автоматизации и без применения таких средств. К настоящей Политике должен иметь доступ любой субъект персональных данных.
2. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Политика Компании в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ: - Конституция Российской Федерации; - Трудовой кодекс Российской Федерации; - Гражданский кодекс Российской Федерации; - Федеральный закон РФ от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете и системе обязательного пенсионного страхования»; - Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»; - Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»; - Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при обработке в информационных системах персональных данных»; - Положение об обработке персональных данных, осуществляемых без использования средств автоматизации, утверждённое постановлением Правительства Российской Федерации от 15.09.2008 № 687; - Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных»; Приказ ФСТЭК России от 18.02.2013 года №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

3. ПРИНЦИПЫ, УСЛОВИЯ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Обработка персональных данных в Компании осуществляется на основе следующих принципов:
─ законности и справедливой основы;
─ ограничения обработки персональных данных достижением конкретных, заранее определённых и законных целей;
─ недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
─ недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
─ обработки только тех персональных данных, которые отвечают целям их обработки;
─ соответствия содержания и объёма обрабатываемых персональных данных заявленным целям обработки;
─ недопущения обработки избыточных персональных данных по отношению к заявленным целям их обработки;
─ обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
─ уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Компанией допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом.

3.2. Цели обработки персональных данных:
- исполнение положений нормативных правовых актов, указанных в пункте 3.1 настоящей Политики;
- ведение кадрового учета работников Компания и начисления им заработной платы;
- исполнения договорных обязательств по отношению к субъектам персональных данных.

3.3. Компания не осуществляет трансграничную передачу персональных данных (передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу).

3.4. Компания и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.


4. ОБРАБАТЫВАЕМЫЕ КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ И ИСТОЧНИКИ ИХ ПОЛУЧЕНИЯ

4.1. В информационной системе персональных данных Компании обрабатываются следующие категории персональных данных: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; семейное положение; образование; биометрические персональные данные; образовательное учреждение, дата его окончания, номер диплома, дата выдачи диплома, специальность (квалификация) по диплому; повышение квалификации, профессиональная переподготовка (образовательное учреждение, сроки, номер свидетельства или диплома, дата выдачи, программа, направление и специальность переподготовки по свидетельству или диплому); данные трудовой книжки, вкладыша в трудовую книжку (серия, номер), трудовая и служебная деятельность, стаж (дата увольнения, номер и дата приказа, причина увольнения), профессия; специальность, фотография; гражданство; пол; серия и номер документа, удостоверяющего личность (кем и когда выдан, код подразделения); наличие заграничного паспорта (серия, номер, кем и когда выдан); номер страхового свидетельства обязательного пенсионного страхования; идентификационный номер налогоплательщика; наличие детей; фамилии, имена, отчества супруга (и) (в том числе бывших), детей, родителей, братьев и сестер; даты и места рождения супруга (и) (в том числе бывших), детей, родителей, братьев и сестер; адреса мест регистрации (проживания) супруга (и) (в том числе бывших), детей, родителей, братьев и сестер; сведения о местах работы (учебы) супруга (и) (в том числе бывших), детей, родителей, братьев и сестер; сведения о воинском учете; ученая степень; ученое звание; стаж работы; сведения о периодах работы (должность, место работы); место работы (службы); предыдущие места работы (службы); замещаемая должность; размер заработной платы (денежного содержания); материалы аттестации, классные чины (специальные и воинские звания); награды, в том числе государственные награды (дата представления к награде, дата оформления награды, номер удостоверения, место вручения) и поощрения, сведения о судимости; результаты медицинского обследования на предмет годности к работе; данные о страховом медицинском полисе обязательного медицинского страхования; номер домашнего телефона и номер мобильного телефона, денежное содержание и оплата труда

4.2. Компания обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:
─ обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
─ обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Компанию функций, полномочий и обязанностей;
─ обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
─ обработка персональных данных необходима для осуществления прав и законных интересов Компании или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
─ осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.

4.3. Получение сведений о персональных данных осуществляется на основании документов и информации, представленных лично работниками Компании в процессе трудовых отношений, а также лично лицами, заключающими гражданско-правовые договоры с Компанией, граждан, обратившихся к Компании в установленном порядке.

4.4. Субъект персональных данных принимает решение о предоставлении его персональных данных и даёт согласие на их обработку свободно, своей волей и в своём интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

5. УТОЧНЕНИЕ, БЛОКИРОВАНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1.Целью уточнения персональных данных, в том числе обновления и изменения, является обеспечение достоверности, полноты и актуальности персональных данных, обрабатываемых Компанией. Уточнение персональных данных осуществляется Компанией по собственной инициативе, по требованию субъекта персональных данных или его представителя, по требованию уполномоченного органа по защите прав субъектов персональных данных в случаях, когда установлено, что персональные данные являются неполными, устаревшими, недостоверными.

5.2. Целью блокирования персональных данных является временное прекращение обработки персональных данных до момента устранения обстоятельств, послуживших основанием для блокирования персональных данных. Блокирование персональных данных осуществляется Компанией по требованию субъекта персональных данных или его представителя, а также по требованию уполномоченного органа по защите прав субъектов персональных данных.

5.3. Уничтожение персональных данных осуществляется Компанией:
по достижении цели обработки персональных данных;
в случае утраты необходимости в достижении целей обработки персональных данных;
в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных;
по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных. При уничтожении материальных носителей персональных данных составляется акт об уничтожении носителей, содержащих персональные данные

6. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1 Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Компанией.

6.2. Субъект персональных данных вправе требовать от Компании уточнения, обрабатываемых Компанией персональных данных субъекта персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.3. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Компании. Компания рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

6.4. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Безопасность персональных данных, обрабатываемых Компанией, обеспечивается реализацией правовых, организационных, технических и программных мер, необходимых и достаточных для обеспечения требований федерального законодательства в области защиты персональных данных.

7.2. Для целенаправленного создания в Компании неблагоприятных условий и труднопреодолимых препятствий для нарушителей, пытающихся осуществить несанкционированный доступ к персональным данным в целях овладения ими, их видоизменения, уничтожения, заражения вредоносной компьютерной программой, подмены и совершения иных несанкционированных действий Компанией применяются организационно-технические меры обеспечения безопасности персональных данных.

Такими мерами являются, в частности:
─ назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
─ ограничение и регламентация состава работников, имеющих доступ к персональным данным;
─ ознакомление работников с требованиями федерального законодательства и нормативных документов Компании по обработке и защите персональных данных;
─ обеспечение учёта и хранения материальных носителей информации и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;
─ определение угроз безопасности персональных данных при их обработке;
─ разработка системы защиты персональных данных для соответствующего класса информационных систем;
─ реализация разрешительной системы доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;
─ регистрация и учёт действий пользователей информационных систем персональных данных;
─ парольная защита доступа пользователей к информационной системе персональных данных;
─ применение средств контроля доступа к коммуникационным портам, устройствам ввода-вывода информации, съёмным машинным носителям и внешним накопителям информации;
─ применение в необходимых случаях средств криптографической защиты информации для обеспечения безопасности персональных данных при передаче по открытым каналам связи и хранении на машинных носителях информации;
─ осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок;
─ обнаружение вторжений в корпоративную сеть Компании, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
─ резервное копирование информации;
─ обеспечение восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
─ проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных;
─ размещение технических средств обработки персональных данных, в пределах охраняемой территории;
─ организация пропускного режима на территорию Компании;
─ поддержание технических средств охраны, сигнализации помещений в состоянии постоянной готовности.