- ОСНОВНЫЕ ПОНЯТИЯ:
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
- ОБЩИЕ ПОЛОЖЕНИЯ
2.1. ООО «ГЭПИЦентр-1» (далее – Оператор) при осуществлении своей деятельности уделяет приоритетное внимание вопросам обеспечения информационной безопасности. Со стороны Оператора принимается комплекс правовых, организационных и технических мер, направленных на защиту информации о работниках, контрагентах и других субъектов персональных данных.
2.2. Настоящая политика в отношении обработки персональных данных (далее –Политика) определяет основные положения обработки персональных данных, реализуемые при обработке персональных данных в ООО «ГЭПИЦентр-1».
2.3. Целью принятия Политики является выполнение требований законодательства в области защиты персональных данных (п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»).
2.4. Настоящая Политика разработана в соответствии с требованиями законодательства в области защиты персональных данных, основанного на Конституции Российской Федерации и состоящего из Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» и других федеральных законах и подзаконных актах, определяющих случаи и особенности обработки персональных данных, а также в соответствии с Уставом ООО «ГЭПИЦентр-1».
2.5. Действие настоящей Политики распространяется на персональные данные субъектов, обрабатываемые Оператором с применением средств автоматизации и без применения таких средств.
2.6. Целью обеспечения защиты персональных данных является обеспечение защиты прав и свобод субъекта персональных данных, в том числе минимизация ущерба, возникающего вследствие возможной реализации угроз безопасности персональных данных.
2.7. Оператор оставляет за собой право пересматривать, изменять и дополнять настоящую Политику в случае изменения законодательных и нормативно-правовых актов, а также по своему усмотрению. Новая редакция Политики вступает в силу, с момента ее размещения в открытом доступе на официальном сайте Оператора в сети Интернет, если иное не предусмотрено новой редакцией Политики.
- ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка персональных данных осуществляется Оператором на основе принципов:
3.1.1. Обработка персональных данных осуществляется на законной и справедливой основе.
3.1.2. Обработка персональных данных осуществляется в соответствии с полномочиями Оператора.
3.1.3. Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей.
3.1.4. Персональные данные, цели обработки которых несовместимы между собой, обрабатываются Оператором в различных базах данных.
3.1.5. Содержание и объем персональных данных соответствуют заявленным целям обработки.
3.1.6. При обработке персональных данных Оператор обеспечивает точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры по удалению или уточнению неполных или неточных данных.
3.2. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.
3.3. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
- УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка персональных данных допускается в следующих случаях:
4.1.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
а) Получение и обработка персональных данных в случаях, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» и иными законами, осуществляется Оператором с письменного согласия субъекта персональных данных или его представителя. Равнозначным содержащему собственноручную подпись субъекта персональных данных или его представителя, согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.
б) Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» или иными законами.
в) Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных (при отзыве субъектом персональных данных согласия на обработку персональных данных) при наличии оснований, указанных в п.п. 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
4.1.2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей.
4.1.3. Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.
4.1.4. Обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг.
4.1.5. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
4.1.6. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
4.1.7. Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
4.1.8. Обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», при условии обязательного обезличивания персональных данных.
4.1.9. Осуществляется обработка персональных данных, доступ неограниченного круга лиц, к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных).
4.1.10. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
4.1.11. Обработка персональных данных осуществляется в соответствии с целями, заранее определенными и заявленными при сборе персональных данных, а также полномочиями Оператора, определенными действующим законодательством Российской Федерации и договорными отношениями с клиентами, работниками и контрагентами Оператора.
4.2. Персональные данные субъекта могут быть получены Оператором от лица, не являющегося субъектом персональных данных, при условии предоставления Оператору подтверждения наличия оснований, указанных в п.п. 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» или иных оснований, предусмотренных законодательством Российской Федерации.
4.3. Право доступа к персональным данным субъектов персональных данных на бумажных и электронных носителях имеют работники Оператора в соответствии с их должностными обязанностями.
4.4. Передача персональных данных субъектов персональных данных третьим лицам может осуществляться Оператором только в соответствии с требованиями действующего законодательства Российской Федерации.
4.5. Оператор вправе поручить обработку персональных данных третьей стороне с согласия субъекта персональных данных и в иных случаях, предусмотренных действующим законодательством Российской Федерации, на основании заключаемого с этой стороной договора, (далее – Поручение). Третья сторона, осуществляющая обработку персональных данных по поручению Оператора, обязана соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», обеспечивая конфиденциальность и безопасность персональных данных при их обработке.
- ОБЩЕЕ ОПИСАНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Оператор осуществляет обработку персональных данных следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных.
- СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Сроки обработки персональных данных субъектов персональных данных определяются в соответствии с действующим законодательством Российской Федерации и иными нормативными правовыми актами.
- ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Права субъекта персональных данных регулируются действующим законодательством и в частности определяются статьям 14 - 17 Федерального закона от 27.06.2006 г. № 152-ФЗ «О персональных данных».
7.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных:
подтверждение факта обработки персональных данных Оператором;
правовые основания и цели обработки персональных данных;
применяемые Оператором способы обработки персональных данных;
наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональных данных на основании договора с Оператором или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.06.2006 г. № 152-ФЗ «О персональных данных»;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом от 27.06.2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами;
направить запрос на отзыв согласия на обработку своих персональных данных;
принимать предусмотренные законом меры по защите своих прав;
защищать свои права и законные интересы, возместить убытки и (или) получить
компенсацию морального вреда в судебном порядке.
7.3. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональных данных являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством меры по защите своих прав.
7.4. Указанные в пункте 7.2. сведения предоставляются субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
7.5. Указанные в пункте 7.2. сведения предоставляются субъекту персональных данных или его законному представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
7.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
7.7. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований федерального законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
7.8. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
- ОЦЕНКА ВОЗМОЖНОГО ВРЕДА
8.1. Размер вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.06.2006 г. №152-ФЗ «О персональных данных», производится в соответствии со статьями 15, 151, 152, 1101 Гражданского кодекса Российской Федерации.
- МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
9.1. Оператор при обработке персональных данных принимает необходимые и достаточные организационные и технические меры или обеспечивает их принятие, предусмотренные законодательством в области защиты персональных данных, для защиты персональных данных, требующих обеспечения конфиденциальности, от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц.
9.2. Меры по обеспечению безопасности персональных данных при их обработке, применяемые Оператором, планируются и реализуются в целях обеспечения соответствия требованиям законодательства в области персональных данных и принятым в соответствии с ним нормативным правовым актам.
9.3. Обеспечение безопасности персональных данных достигается, в частности:
9.3.1. назначением ответственного за организацию обработки персональных данных;
9.3.2. разработкой и внедрением локальных актов по вопросам обработки персональных данных;
9.3.3. определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
9.3.4. применением организационных и технических мер по обеспечению безопасности персональных данных;
9.3.5. применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
9.3.6. учетом машинных носителей информации;
9.3.7. установление правил доступа к персональным данным;
9.3.8. ограничение доступа в помещения, где размещены технические средства, осуществляющие обработку персональных данных, а также хранятся носители информации;
9.3.9. обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
9.3.10. внесением персональных данных (не являющиеся общедоступными, требующими соблюдения конфиденциальности) в перечень конфиденциальной информации Оператора;
9.3.11. получением обязательства о неразглашении сведений конфиденциального характера, в том числе персональных данных со всех работников Оператора непосредственно участвующих в обработке персональных данных;
9.3.12. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
9.3.13. ознакомление работников Оператора непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными актами по вопросам обработки персональных данных;
9.3.14. контролем за принимаемыми мерами по обеспечению безопасности персональных данных.
9.4. Внутренний контроль за соответствием обработки персональных данных законодательству и принятым в соответствии с ним нормативным правовым актам осуществляется в порядке, установленном Постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
- ОГРАНИЧЕНИЯ НА ДЕЙСТВИЯ НАСТОЯЩЕЙ ПОЛИТИКИ
Действие Политики не распространяется на отношения, возникающие при:
10.1. организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
10.2. обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
10.3. предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22.12.2008 г. № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».