ОБЩИЕ ПРЕДПОСЫЛКИ

Настоящая Политика оператора в отношении обработки персональных данных (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006. №152-ФЗ «О персональных данных» (далее – ФЗ-152).

Политика определяет порядок обработки персональных данных и меры по обеспечению их безопасности в (далее – Оператор) с целью защиты прав и свобод человека и гражданина, включая неприкосновенность частной жизни и личную тайну.

В документе используются следующие основные термины:
персональные данные (ПДн) – информация, относящаяся к определенному физическому лицу (субъекту персональных данных) прямо или косвенно;
информационная система персональных данных (ИСПДн) – система, содержащая базы данных с персональными данными и обеспечивающая их обработку при помощи информационных технологий; автоматизированная обработка ПДн – обработка ПДн с использованием компьютерных средств;
блокирование ПДн – временное прекращение обработки ПДн, кроме случаев, когда обработка требуется для уточнения ПДн; анонимизация ПДн – действия, в результате которых невозможно определить, кому принадлежат конкретные ПДн без дополнительной информации; обработка ПДн – любые действия или операции, совершаемые с ПДн при помощи компьютерных средств или без них, включая сбор, запись, систематизацию, хранение, изменение, извлечение, использование, передачу, анонимизацию, блокирование, удаление или уничтожение; оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами, осуществляющие обработку ПДн и определяющие цели их обработки; предоставление ПДн – передача ПДн определенному лицу или кругу лиц; распространение ПДн – передача ПДн неопределенному кругу лиц (передача данных) или ознакомление с ПДн неограниченным кругом лиц, включая публикацию в СМИ, размещение в информационных сетях или предоставление доступа к ПДн другим способом;
трансграничная передача ПДн – передача ПДн за пределы Российской Федерации органу власти иностранного государства, иностранному физическому или юридическому лицу; уничтожение ПДн – действия, не позволяющие восстановить содержание ПДн в ИСПДн или физически уничтожающие носители, на которых хранятся ПДн.

Компания обязана обнародовать или иным способом обеспечить неограниченный доступ к настоящей Политике оператора в отношении обработки ПДн в соответствии с законодательством.

ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПДН

Принципы обработки ПДн
Обработка ПДн у Оператора основана на следующих принципах:

  • законности и справедливости;
  • ограничении обработки ПДн только достижением конкретных, заранее определенных и законных целей;
  • между целями совместимой обработки ПДн исключается объединение баз данных, содержащих персональные данные;
  • обработка ПДн осуществляется только в случаях, когда они соответствуют целям обработки;
  • содержание и объем обрабатываемых ПДн соответствуют заявленным целям;
  • ПДн необходимы для обработки и не превышают объемы, необходимые для достижения этих целей;
  • ПДн точны, достаточны и актуальны в отношении целей обработки;
  • ПДн уничтожаются или обезличиваются по достижении целей их обработки или при потере необходимости в их достижении, если невозможно исправить нарушения ПДн, за исключением случаев, предусмотренных федеральным законом.

Условия обработки ПДн

Оператор осуществляет обработку ПДн при наличии хотя бы одного из следующих условий:

  • обработка ПДн производится с согласия субъекта ПДн;
  • обработка ПДн необходима для достижения целей, предусмотренных международными договорами или законами Российской Федерации, или для выполнения функций, полномочий и обязанностей, предусмотренных законодательством Российской Федерации;
  • обработка ПДн необходима для осуществления правосудия, исполнения судебных актов или актов других органов, а также должностных лиц, которые должны быть исполнены в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • обработка ПДн необходима для обеспечения безопасности государства, общественного порядка, здоровья и прав граждан, а также защиты экономических, финансовых и иных интересов Российской Федерации;

обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку персональных данных; и
обработка персональных данных необходима для достижения целей, предусмотренных международными договорами или законодательством Российской Федерации, а также для осуществления и выполнения функций, полномочий и обязанностей, возложенных на оператора законодательством Российской Федерации; и
обработка персональных данных необходима для исполнения актов других органов или должностных лиц, подлежащих принудительному исполнению в соответствии с законодательством Российской Федерации о судоустройстве, исполнении судебных актов и исполнительном производстве; или
обработка персональных данных необходима для заключения договоров, стороной которых является субъект персональных данных, выгодоприобретателем или поручителем, а также договоров, инициатором которых является субъект персональных данных или в которых субъект персональных данных является выгодоприобретателем или поручителем;
обработка персональных данных необходима для реализации прав и законных интересов оператора или третьей стороны либо для достижения общественно значимых целей, если при этом не нарушаются права и свободы субъекта персональных данных;
Персональные данные обрабатываются, если они доступны без ограничений субъекту персональных данных или по его просьбе (“общедоступные персональные данные”);
обработка персональных данных, подлежащих в соответствии с федеральным законом открытому или обязательному раскрытию.
Конфиденциальность персональных данных.
Оператор и иные лица, имеющие доступ к персональным данным, обязаны не раскрывать персональные данные третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Открытые источники персональных данных
В целях информационной поддержки Оператор может создавать общедоступные источники персональных данных о субъектах персональных данных, такие как справочники и адресные книги. Общедоступные источники персональных данных могут включать фамилию, имя, отчество, дату и место рождения субъекта персональных данных, должность, контактный телефон, адрес электронной почты и любые другие персональные данные, предоставленные субъектом персональных данных, при условии его письменного согласия.
Сведения о субъекте персональных данных подлежат исключению из источников общедоступных персональных данных в любое время по требованию субъекта персональных данных, органа, уполномоченного защищать права субъекта персональных данных, или по решению суда.
Специальные категории персональных данных
Обработка оператором специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья или интимной жизни, разрешается, если
субъект персональных данных дал письменное согласие на обработку персональных данных;
персональные данные были раскрыты субъектом данных; или
обработка персональных данных осуществляется в соответствии с Законом РФ “О государственной социальной помощи”, Трудовым кодексом РФ и Законом РФ “О государственном пенсионном обеспечении и трудовых пенсиях”; или
обработка персональных данных необходима для защиты жизни, здоровья и иных жизненно важных интересов субъекта персональных данных или иного лица, и получить согласие субъекта персональных данных невозможно; или
если обработка персональных данных осуществляется в лечебно-профилактических целях, для установления медицинского диагноза или оказания медицинских и медико-социальных услуг. При этом обработка персональных данных должна осуществляться лицами, профессионально занимающимися медицинской деятельностью и имеющими обязательство о неразглашении врачебной тайны в соответствии с законодательством Российской Федерации;
обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьей стороны, или в связи с осуществлением правосудия; или
обработка персональных данных осуществляется в соответствии с законодательством об обязательном страховании и страховании; или
Обработка специальных персональных данных, осуществляемая в случаях, указанных в пункте 4 части 10 статьи 152 Федерального закона, прекращается с момента устранения причин, послуживших основанием для ее осуществления, если иное не предусмотрено Федеральным законом. Обработка персональных данных, относящихся к судимости, может осуществляться Оператором только при наличии и в порядке, определяемом в соответствии с федеральным законом.
Биометрические персональные данные
Сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные), могут обрабатываться Оператором только с письменного согласия субъекта персональных данных.
Передача обработки персональных данных на аутсорсинг
Оператор вправе с согласия субъекта персональных данных и на основании заключаемого с ним договора передать обработку персональных данных на аутсорсинг другим лицам, за исключением случаев, предусмотренных федеральным законом. Лица, осуществляющие обработку персональных данных по поручению оператора, обязаны соблюдать принципы и правила обработки персональных данных, установленные Федеральным законом № 152 и настоящей Политикой.
Обработка персональных данных граждан Российской Федерации
В соответствии со статьей 2 Федерального закона № 242-ФЗ от 21 июля 2014 года “О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях” при сборе персональных данных, в том числе через Интернет, Оператор обязан использовать базу данных для обеспечения записи, систематизации, накопления, хранения, уточнения (обновления, изменения) и поиска персональных данных граждан Российской Федерации.
обработка персональных данных необходима для достижения целей, предусмотренных международными конвенциями или законами Российской Федерации, а также для выполнения функций, полномочий и обязанностей, возложенных на Оператора законодательством Российской Федерации;
обработка персональных данных необходима для целей судебного делопроизводства, исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее – “исполнение судебных актов”);
для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, органов государственной исполнительной власти субъектов Российской Федерации, органов местного самоуправления и организаций, участвующих в предоставлении государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 г. № 210-ФЗ “Об организации предоставления государственных и муниципальных услуг”. Необходима обработка персональных данных, которая включает в себя регистрацию субъекта персональных данных на Едином государственном портале.
Обработка персональных данных необходима для осуществления профессиональной деятельности журналистов и (или) законной деятельности средств массовой информации либо для осуществления научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.

Трансграничная передача персональных данных

Оператор обязан убедиться в том, что иностранная территория, на которую осуществляется передача персональных данных, обеспечивает надлежащую защиту прав субъекта персональных данных до начала такой передачи.
Трансграничная передача персональных данных на иностранную территорию, не обеспечивающую адекватную защиту прав субъекта персональных данных, может быть осуществлена, если субъект персональных данных дал письменное согласие на трансграничную передачу своих персональных данных;
исполнения договора, стороной которого является субъект персональных данных.

Права субъекта персональных данных

Согласие субъекта данных на обработку персональных данных

Субъект данных по своей воле и в своих интересах принимает решение о предоставлении своих персональных данных и согласии на их обработку. Согласие на обработку персональных данных может быть дано субъектом данных или его представителем в любой форме, в которой может быть удостоверен факт его получения, если иное не предусмотрено федеральным законом. Права субъекта персональных данных
Субъект персональных данных имеет право на получение от оператора информации об обработке своих персональных данных, если это не запрещено в соответствии с федеральным законом. Субъект данных имеет право требовать от оператора уточнения, блокирования или уничтожения своих персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав Право на.
Обработка персональных данных в целях продвижения товаров, работ или услуг на рынке путем непосредственного контакта с субъектом персональных данных (потенциальным потребителем) с помощью средств связи и в целях проведения политических кампаний допускается только с предварительного согласия субъекта персональных данных.

Оператор обязан немедленно прекратить обработку персональных данных субъекта персональных данных для вышеуказанных целей по запросу субъекта персональных данных.

Запрещается принимать исключительно на основе автоматизированной обработки персональных данных решения, порождающие юридические последствия в отношении субъекта персональных данных или затрагивающие права и законные интересы субъекта персональных данных, за исключением случаев, предусмотренных федеральным законом, или с письменного согласия субъекта персональных данных.
Если субъект данных считает, что Оператор обрабатывает его персональные данные с нарушением требований ФЗ – 152 или иным образом нарушает его права и свободы, субъект данных может обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных. Субъект данных имеет право обжаловать действия или бездействие Оператора в Уполномоченном органе по защите прав субъектов данных или в суде.
Субъект данных имеет право на защиту своих прав и законных интересов, включая возмещение убытков и/или эмоционального ущерба.

Обеспечение безопасности персональных данных

Безопасность персональных данных, обрабатываемых Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для обеспечения требований Федерального закона в области защиты персональных данных.
Для предотвращения несанкционированного доступа к персональным данным Оператор применяет следующие организационные и технические меры
назначение лица, ответственного за организацию обработки и защиты персональных данных;
ограничение круга лиц, уполномоченных на обработку персональных данных;
информирование субъекта о требованиях Федерального закона “Об обработке и защите персональных данных” и нормативных документов Оператора
организация учета, хранения и обработки носителей информации, содержащих персональные данные;
Выявление угроз безопасности персональных данных в процессе обработки персональных данных и формирование на их основе моделей угроз;
Разработка систем защиты персональных данных на основе модели угроз;
Проверка готовности и эффективности мер по защите информации;
доступ пользователей к информационным ресурсам; разграничение программных и аппаратных средств обработки информации;
регистрация и учет действий пользователей информационной системы персональных данных;
использование антивирусных средств и средств восстановления системы защиты персональных данных;
при необходимости применение межсетевых экранов, средств обнаружения вторжений, анализа защищенности и защиты от шифрования;
организация контроля доступа в зону оператора; охрана помещений с техническими средствами обработки персональных данных.

Заключительные положения.

Иные права и обязанности Оператора в связи с обработкой персональных данных определяются законодательством Российской Федерации в области персональных данных.
Работник Оператора, нарушивший нормы, регулирующие обработку и защиту персональных данных, несет материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральным законом.