ПОЛИТИКА АО «ЭКОПСИ»
В ОБЛАСТИ ОБРАБОТКИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ

1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. С целью поддержания деловой репутации и обеспечения выполнения
норм федерального законодательства АО «ЭКОПСИ» (далее – Компания)
считает важнейшей задачей обеспечение легитимности обработки и
безопасности персональных данных субъектов в бизнес-процессах Компании.
1.2. Для решения данной задачи в Компании введена, функционирует и
проходит периодический пересмотр (контроль) система защиты персональных
данных.
1.3. Обработка персональных данных в Компании основана на следующих
принципах:
− законности целей и способов обработки персональных данных и
добросовестности;
− соответствия целей обработки персональных данных целям, заранее
определенным и заявленным при сборе персональных данных, а также
полномочиям Компании;
− соответствия объема и характера обрабатываемых персональных
данных, способов обработки персональных данных целям обработки
персональных данных;
− достоверности персональных данных, их актуальности и достаточности
для целей обработки, недопустимости обработки избыточных по отношению к
целям сбора персональных данных;
− легитимности организационных и технических мер по обеспечению
безопасности персональных данных;
− непрерывности повышения уровня знаний работников Компании в сфере
обеспечения безопасности персональных данных при их обработке;
− стремления к постоянному совершенствованию системы защиты
персональных данных.

2. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. В соответствии с принципами обработки персональных данных, в
Компании определены состав и цели обработки:
− рассмотрение резюме и подбор кандидатов на вакантную должность для
дальнейшего трудоустройства;
− заключение, сопровождение, изменение, расторжение трудовых
договоров, которые являются основанием для возникновения или прекращения
трудовых отношений между сотрудниками и работодателем;
− исполнение обязательств, предусмотренных федеральным
законодательством и иными нормативными правовыми актами (в том числе в
области охраны труда);
− содействие сотрудникам в обучении и карьерном росте;
− предоставление сотрудникам банковских сервисов;
− содействие в получении социальных льгот и компенсаций;
− предоставление информации по запросам государственных органов;
− исполнение обязательств по трудовым договорам;
− ведение процесса согласования договоров и выполнение требований по
договорам с контрагентами;
− содействие в получении социальных льгот и компенсаций;
− заключение, сопровождение, изменение, расторжение договоров;
− исполнение обязательств по гражданско-правовым договорам;
− выполнение договорных обязательств перед клиентом (оценка персонала
клиента) в том числе гарантийных обязательств по договору.

3. ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. В Компании осуществляется обработка только тех персональных
данных, которые представлены в утвержденном Перечне персональных данных,
обрабатываемых в АО «ЭКОПСИ».
3.2. В Компании осуществляется обработка следующих категорий
субъектов персональных данных:
− кандидатов на вакантные должности;
− сотрудников АО «ЭКОПСИ»;
− родственников сотрудников;
− сотрудников, работающих по гражданско-правовым договорам;
− представителей контрагентов-юридических лиц;
− контрагентов-индивидуальных предпринимателей;
− сотрудников клиентов.
3.3. В Компании НЕ допускается обработка следующих категорий
персональных данных:
− расовая принадлежность;
− политические взгляды;
− философские убеждения;
− состояние здоровья;
− состояние интимной жизни;
− национальная принадлежность;
− религиозные убеждения.
3.4. Компания в ходе своей деятельности может предоставлять
персональные данные субъектов третьим лицам только с согласия самого
субъекта, за исключением случаев, установленных федеральным
законодательством Российской Федерации.
3.5. В Компании НЕ обрабатываются биометрические персональные
данные (сведения, которые характеризуют физиологические и биологические
особенности человека, на основании которых можно установить его личность).
3.6. В Компании НЕ осуществляется трансграничная передача
персональных данных (передача персональных данных на территорию
иностранного государства органу власти иностранного государства,
иностранному физическому лицу или иностранному юридическому лицу).
3.7. В Компании запрещено принятие решений относительно субъектов
персональных данных на основании исключительно автоматизированной
обработки их персональных данных.
3.8. В Компании НЕ осуществляется обработка данных о судимости
субъектов.
3.9. Компания НЕ размещает персональные данные субъекта в
общедоступных источниках без его предварительного согласия.

4. РЕАЛИЗОВАННЫЕ ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ
БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. С целью обеспечения безопасности персональных данных при их
обработке в Компании реализуются требования следующих нормативных
документов РФ в области обработки и обеспечения безопасности персональных
данных:
− Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
− Постановление Правительства Российской Федерации от 01.11.2012
№1119 «Об утверждении требований к защите персональных данных при их
обработке в информационных системах персональных данных»;
− Постановление Правительства Российской Федерации от 15.09.2008 г.
№687 «Об утверждении Положения об особенностях обработки персональных
данных, осуществляемой без использования средств автоматизации»;
− Базовая модель угроз безопасности персональных данных при их
обработке в информационных системах персональных данных (утверждена
заместителем директора ФСТЭК России 15.02.2008 г.);
− Методика определения актуальных угроз безопасности персональных
данных при их обработке в информационных системах персональных данных
(утверждена заместителем директора ФСТЭК России 14.02.2008 г.);
− Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и
содержания организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах
персональных данных».
4.2. Компания проводит оценку вреда, который может быть причинен
субъектам персональных данных и определяет угрозы безопасности
персональных данных. В соответствии с выявленными актуальными угрозами
Компания применяет необходимые и достаточные организационные и
технические меры, включающие в себя использование средств защиты
информации, обнаружение фактов несанкционированного доступа,
восстановление персональных данных, установление правил доступа к
персональным данным, а также контроль и оценку эффективности применяемых
мер.
4.3. В Компании назначены лица, ответственные за организацию
обработки и обеспечения безопасности персональных данных.
4.4. Руководство Компании заинтересовано в обеспечении безопасности
персональных данных, обрабатываемых в рамках выполнения основной
деятельности Компании, как с точки зрения требований нормативных документов
Российской Федерации, так и с точки зрения оценки рисков для бизнеса.