1. Общие положения
1.1. Настоящий документ (далее – Политика) определяет цели и общие принципы обработки персональных данных, а также меры по обеспечению их безопасности в АО «Международный аэропорт «Казань». Политика является общедоступным документом и предусматривает возможность ознакомления с ней любых лиц.Целью настоящей Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, четкое и неукоснительное соблюдение требований Российского законодательства в области персональных данных.
1.2. Настоящая Политика разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации».
1.3. Действие Политики распространяется на все процессы обработки персональных данных субъектов в АО «Международный аэропорт «Казань» с применением средств автоматизации и без применения таких средств.
1.4. В настоящей Политике используются следующие термины и определения, определенные Федеральными законами от 27.07.2006 №152-ФЗ «О персональных данных», от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»:
Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
Оператор – юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Пользователь – лицо, на законном основании прибегающее к услугам информационных систем персональных данных для получения необходимой ему информации для решения иных задач;
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
2. Сведения об обработке персональных данных
2.1. АО «Международный аэропорт «Казань» (далее - Организация), являясь оператором персональных данных, осуществляет обработку персональных данных следующих физических лиц:- работников Организации, с которыми заключены трудовые договоры, лицами, выполняющими работы в интересах Организации в соответствии с заключенными с ними гражданско-правовыми договорами (далее – Работники), кандидатов на соискание вакантной должности (профессии (далее – Кандидат);
- клиентов Организации, которым Организация оказывает коммерческие услуги (далее – Клиенты);
- представителей контрагентов Организации, с которыми у Организации существуют договорные отношения, или с которыми Организация намерена вступить в договорные отношения (далее – Представители контрагентов).
3. Принципы и условия обработки персональных данных
3.1. Обработка персональных данных Организацией осуществляется в соответствии со следующими принципами:3.1.1. Законность и справедливая основа обработки персональных данных. Организация принимает все необходимые меры по выполнению требований законодательства, не обрабатывает персональные данные в случаях, когда это не допускается законами Российской Федерации, не использует персональные данные во вред субъектам.
3.1.2. Организация ограничивает обработку персональных данных при достижении конкретных, заранее определенных согласием субъекта персональных данных целей.
3.1.3. Организация обрабатывает только те персональные данные, которые отвечают заранее объявленным целям их обработки, и следует принципам:
- соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки;
- недопущение обработки персональных данных, не совместимой с целями сбора персональных данных;
- недопущение обработки избыточных персональных данных по отношению к заявленным целям их обработки.
3.1.5. Организация не допускает объединения баз данных, содержащих персональные данные, обработка которых осуществляется в различных целях. Персональные данные обрабатываются Организацией с использованием систем управления базами данных и приложений, не допускающих объединения сведений о различных категориях субъектов.
3.1.6. Организация обеспечивает точность, достаточность и актуальность персональных данных по отношению к целям обработки персональных данных. Организация принимает все разумные меры по поддержке актуальности обрабатываемых персональных данных, включая, но не ограничиваясь, реализацию права каждого субъекта получать для ознакомления свои персональные данные (кроме случаев ограничения этого права федеральными законами) и требовать от Организации их уточнения, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных выше целей обработки.
3.1.7. Уничтожение либо обезличивание персональных данных по достижении заявленных целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Организацией допущенных нарушений обработки персональных данных, если иное не предусмотрено федеральными законами.
3.2. Обработка персональных данных Организацией допускается в следующих случаях:
3.2.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
3.2.2. Обработка персональных данных необходима для достижения целей, предусмотренных законодательством Российской Федерации, а также выполнения возложенных законодательством в Организации функций, полномочий и обязанностей.
3.2.3. Обработка персональных данных необходима для осуществления прав и законных интересов Организации или третьих лиц, установленных законодательством Российской Федерации или нормативно-правовыми актами федеральных органов исполнительной власти, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъектов персональных данных.
3.2.4. Обработка персональных данных осуществляется в статистических или исследовательских целях при условии обязательного обезличивания персональных данных.
3.3. Организация не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, кроме случаев предусмотренных законодательством.
3.4. Организация не принимает решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы субъектов, на основании исключительно автоматизированной обработки персональных данных.
4. Меры по обеспечению безопасности персональных данных
4.1. Организация обеспечивает безопасность персональных данных путем реализации комплекса правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований федерального законодательства в области защиты персональных данных. Организация самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством РФ в сфере персональных данных и принятыми в соответствии с ним нормативными правовыми актами. Обеспечение безопасности персональных данных достигается, в частности (не ограничиваясь):- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные законодательством РФ уровни защищенности персональных данных;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер по их нейтрализации;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
5. Права субъектов персональных данных
5.1. В соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных. Субъект персональных данных вправе требовать от Организации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.5.2. Субъект персональных данных имеет право на защиту своих прав и законных интересов.
5.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
6. Заключительные положения
6.1. Иные обязанности и права Организации как оператора организующего обработку персональных данных по поручению других операторов, определяются законодательством Российской Федерации в области персональных данных.6.2. Работники, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
6.3. Положения настоящей Политики пересматриваются по мере необходимости. Обязательный пересмотр Политики проводится в случае существенных изменений международного или национального законодательства в сфере персональных данных.