Политика конфиденциальности
Общие положения
- Настоящее Положение определяет политику общества с ограниченной ответственностью «Производственная компания МДН-Пром» (далее – ООО «ПК МДН-Пром» или Оператор) в отношении обработки персональных данных в ООО «ПК МДН-Пром», регулирует вопросы обработки персональных данных и устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений в рамках деятельности ООО «ПК МДН-Пром». Основной целью настоящего Положения является защита прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
- Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» и иными нормативными актами Российской Федерации.
-
В настоящем Положении используются следующие термины и определения:
Оператор – общество с ограниченной ответственностью «Производственная компания МДН-Пром» (Сокращенное наименование - ООО «ПК МДН-Пром», ОГРН 1165043052932, ИНН 5043059625, находящееся по адресу: 142204, Россия, Московская обл., г. Серпухов, Московское шоссе, д. 53, помещение 7), вступившее в договорные отношения с клиентом или контрагентом и оказывающее услуги физическому лицу, юридическому лицу или индивидуальному предпринимателю, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Клиент – физическое лицо, официальный представитель – физическое лицо юридического лица и индивидуального предпринимателя, вступившее в договорные отношения по оказанию услуг с Оператором.
Контрагент – физическое лицо, представитель – физическое лицо юридического лица и индивидуального предпринимателя, вступившие с Оператором в договорные отношения.
Персональные данные Клиента – любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) в том числе информация, необходимая Оператору в связи с договорными отношениями и касающаяся конкретного Клиента, в том числе, его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, паспортные данные, социальное положение, имущественное положение, образование, профессия, специальность, занимаемая должность, доходы, ИНН, сведения ВУС, СНИЛС, сведения о трудовом и общем стаже, адрес электронной почты, телефон, место работы или учебы членов семьи и родственников, состав декларируемых сведений о наличии материальных ценностей, содержание декларации, подаваемой в налоговую инспекцию, налоговый статус (резидент/нерезидент), иные сведения указанные заявителем.
Персональные данные Контрагента – информация, необходимая Оператору в связи с договорными отношениями и касающаяся конкретного Контрагента, в том числе, фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, паспортные данные, социальное положение, имущественное положение, образование, профессия, специальность, занимаемая должность, доходы, ИНН, сведения ВУС, СНИЛС, сведения о трудовом и общем стаже, адрес электронной почты, телефон, место работы или учебы членов семьи и родственников, состав декларируемых сведений о наличии материальных ценностей, содержание декларации, подаваемой в налоговую инспекцию, налоговый статус (резидент/нерезидент), иные сведения указанные заявителем.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Субъект персональных данных – а) Клиент, б) Контрагент, в) лица, которые являются потенциальными (возможными) Клиентами и Контрагентами Оператора и передают Оператору свои персональные данные посредством заполнения формы для обратной связи или регистрации на веб-сайте.
Защита персональных данных субъектов персональных данных – деятельность Оператора по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации.
Конфиденциальность персональных данных – обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
Подразделение ИБ – отдел информационной безопасности и режима Оператора, либо сотрудник Оператора, на которого возложены обязанности по обеспечению информационной безопасности и режима Оператора, в том числе обязанности по организации обработки персональных данных.
Подразделение по работе с персоналом – отдел по работе с персоналом Оператора либо сотрудник Оператора, на которого возложены обязанности по работе с персоналом.
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
- Обработка персональных данных Оператором осуществляется основе принципов:
- законности целей и способов обработки персональных данных;
- добросовестности ООО «ПК МДН-Пром», как оператора персональных данных, что достигается путем выполнения требований законодательства Российской Федерации в отношении обработки персональных данных;
- соответствия состава и объема обрабатываемых персональных данных, а также способов обработки персональных данных заявленным целям их обработки;
- точности и достаточности, а в необходимых случаях и актуальности персональных данных по отношению к заявленным целям их обработки;
- уничтожения персональных данных по достижении целей обработки способом, исключающим возможность их восстановления;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
- Действия настоящего Положения распространяется на всех Клиентов, Контрагентов, а также на лиц, которые являются потенциальными (возможными) Клиентами и Контрагентами Оператора и передают Оператору свои персональные данные для обратной связи.
- Положение обязательно для ознакомления лицами, передающими Оператору персональные данные.
- Передавая персональные данные Оператору (в том числе, заполняя соответствующие формы на веб-сайте), субъект персональных данных предоставляет свое согласие на обработку, сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение переданных персональных данных в течение срока и в порядке, установленным законодательством Российской Федерации.
Правила предоставления доступа работников к персональным данным
- Список лиц, допущенных к обработке персональных данных (далее – Список) и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение правил обработки персональных данных, определяется и утверждается генеральным директором Оператора.
- Подразделение по работе с персоналом при принятии на работу, увольнении или изменении должностных обязанностей Работников не позднее чем в трехдневный срок вносит изменения в список лиц, допущенных к обработке персональных данных, по согласованию с Подразделением ИБ.
- Подразделение ИБ, не реже одного раза в квартал, обязано проверять актуальность Списка. В случае выявления расхождений, Подразделение по работе с персоналом вносит изменения в Список.
- Работники Оператора выполняют действия по обработке персональных данных в соответствии с возложенными на Работников функциями.
- Доступ к персональным данным предоставляется только лицам, замещающим должности из Списка. Предоставление доступа к ИСПДн осуществляется в помещение объекта информатизации Оператора.
- Работники имеют доступ на ввод и коррекцию персональных данных в пределах, определенных должностными обязанностями.
- Лица, получившие доступ к персональным данным, должны хранить в тайне известные им сведения конфиденциального характера и информировать Подразделение ИБ об утечке персональных данных, о фактах нарушения порядка обращения с ними, о попытках несанкционированного доступа к персональным данным.
- Лица, получившие доступ к персональным данным, должны использовать эти данные лишь в целях, для которых они сообщены, обязаны соблюдать режим конфиденциальности и дать Обязательство о неразглашении персональных данных.
- Оператор обеспечивает неограниченный доступ к сведениям о реализуемых требованиях к защите персональных данных.
Обработка персональных данных
- Персональные данные Клиента или Контрагента относятся к категории конфиденциальной информации.
- Оператор обрабатывает персональные данные при наличии одного из следующих условий:
- Обработка персональных данных осуществляется с согласия субъекта персональных данных;
- Обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
- Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);
- Обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
- Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
- В целях обеспечения прав и свобод человека и гражданина Оператор и его представители при обработке персональных данных Клиента или Контрагента обязаны соблюдать следующие общие требования:
- Обработка персональных данных должна осуществляться на законной и справедливой основе, исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия выполнения договорных обязательств в соответствии с законодательством РФ.
- Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
- Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
- Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
- При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
- Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
- Оператор не имеет права получать и обрабатывать персональные данные Клиента или Контрагента о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.
- Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда Клиента или Контрагента, затруднения реализации его прав и свобод.
- При принятии решений, затрагивающих интересы Клиента или Контрагента, Оператор не имеет права основываться на персональных данных Клиента или Контрагента, полученных исключительно в результате их автоматизированной обработки без его письменного согласия на такие действия.
- Сроки обработки персональных данных регламентируются действующим законодательством Российской Федерации, в том числе Федеральным законом «О персональных данных»; обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.
- Оператор обрабатывает персональные данные субъекта персональных данных в следующих целях:
- Заключения, исполнения и прекращения гражданско-правовых договоров (в том числе договоров займа) с физическими, юридическими лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и уставными или иными документами Оператора.
- Осуществления возложенных на Оператора законодательством Российской Федерации в соответствии с Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Федеральным законом от 07 августа 2001 года №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансирования терроризма, Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и иными нормативными актами.
- Идентификации Клиентов и Контрагентов;
- Осуществления связи с Клиентами и Контрагентами в случае необходимости, в том числе направления претензий, писем, запросов и иной информации.
- При идентификации Клиента или Контрагента Оператора может затребовать предъявления документов, удостоверяющих личность и подтверждающих полномочия представителя.
- При заключении договора, как и в ходе выполнения договора, может возникнуть необходимость в предоставлении Клиентом иных документов, содержащих информацию о нем.
- После принятия решения о заключении договора или представления документов, подтверждающих полномочия представителя, а также впоследствии, в процессе выполнения договора, содержащего персональные данные Клиента или Контрагента, так же будут относиться:
- договоры;
- приказы по основной деятельности;
- служебные записки;
- приказы о допуске представителей Контрагента;
- разовые или временные пропуска;
- другие документы, где включение персональных данных Клиента или Контрагента необходимо согласно действующему законодательству.
- Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных». В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных».
- Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
- В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
-
Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных» и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
Уполномоченный орган по защите прав субъектов персональных данных утверждает перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных. Государство, не являющееся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, может быть включено в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер безопасности персональных данных.
Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных.
Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
- наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
- предусмотренных международными договорами Российской Федерации;
- предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
- исполнения договора, стороной которого является субъект персональных данных;
- защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
Организация защиты персональных данных
- Все Работники, имеющие доступ к персональным данным Клиентов или Контрагентов, обязаны подписать соглашение о неразглашении персональных данных.
- Защита персональных данных Клиентов или Контрагентов от неправомерного их использования или утраты обеспечивается Оператором в порядке, установленном законодательством РФ.
- Клиенты или Контрагенты до предоставления своих персональных данных должны иметь возможность ознакомиться с настоящим Положением.
- Защите подлежит:
- информация о персональных данных субъекта;
- документы, содержащие персональные данные субъекта;
- персональные данные, содержащиеся на электронных носителях.
- Оператор назначает ответственного за организацию обработки персональных данных.
- Оператор издает документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
- Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Обеспечение безопасности персональных данных достигается, в частности:
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учетом машинных носителей персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
- Оператор осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону от 27.07.2006 года №152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.
- Оператор осуществляет оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом.
- Оператор ознакамливает своих работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
- Ответственные лица соответствующих подразделений, хранящих персональные данные на бумажных носителях и машинных носителях информации, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному Постановлением Правительства Российской Федерации 15 сентября 2008 года №687.
- Ответственные лица структурных подразделений, обрабатывающие персональные данные в информационных системах персональных данных и машинных носителях информации, обеспечивают защиту в соответствии с Постановлением Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказом ФСТЭК России от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», и другими нормативными, нормативно-методическими, методическими документами.
Хранение персональных данных
- Сведения о Клиентах и Контрагентах хранятся на бумажных носителях в помещении Оператора. Для хранения носителей используются специально оборудованные шкафы и сейфы; помещения, в которых размещены такие шкафы и сейфы запираются на ключ.
- Обязанности по хранению документов, где содержаться персональные данные Клиентов или Контрагентов, возлагаются на конкретного работника Оператора и закрепляются в его должностной инструкции.
- Ключи от помещений, в которых хранятся носители, находятся у ответственного работника Оператора, которому они передаются по Акту. При отсутствии данного работника используются дубликаты ключей, находящиеся у непосредственного начальника ответственного работника.
- Персональные данные Клиентов или Контрагентов также хранятся в электронном виде, доступ к которым ограничен и регламентируется Оператором.
- Доступ к персональным данным Клиентов или Контрагентов без специального разрешения имеют работники, занимающие у Оператора следующие должности:
- Генеральный директор;
- Заместитель генерального директора.
- Внутренний доступ (доступ внутри организации) к персональным данным Клиентов или Контрагентов имеют работники, внесенные в список лиц, допущенных к обработке персональных данных.
-
Хранение персональных данных Клиента или Контрагента должно осуществляться в форме, позволяющей определить Клиента или Контрагента, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Клиент или Контрагент. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Сроки хранения документов, содержащих персональные данные Клиента или Контрагента, определяются в соответствие со сроком действия договора с Клиентом или Контрагентом, сроком исковой давности, а также иными требованиями законодательства РФ.
-
Период хранения и обработки персональных данных определяется в соответствии с Федеральным Законом «О персональных данных».
Обработка персональных данных начинается с момента поступления персональных данных в информационные системы персональных данных и прекращается:
-
в случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления, Общество устраняет допущенные нарушения. В случае невозможности устранения допущенных нарушений, Общество в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, уничтожает персональные данные.
Об устранении допущенных нарушений или об уничтожении персональных данных Общество уведомляет субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, Общество уведомляет также указанный орган;
- в случае достижения цели обработки персональных данных Общество незамедлительно прекращает обработку персональных данных и уничтожает соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, и уведомляет об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, Общество уведомляет также указанный орган;
- в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Общество прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва. Об уничтожении персональных данных Общество уведомляет субъекта персональных данных.
- в случае прекращения деятельности Общества.
-
в случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления, Общество устраняет допущенные нарушения. В случае невозможности устранения допущенных нарушений, Общество в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, уничтожает персональные данные.
Передача персональных данных
- При передаче персональных данных Клиента или Контрагента Оператор соблюдает следующие требования:
-
Не сообщает персональные данные Клиента или Контрагента третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, при поступлении официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях», а также в случаях, предусмотренных иными нормативно-правовыми актами.
Оператор в каждом конкретном случае делает самостоятельную оценку серьезности, неминуемости, степени такой угрозы. Если же лицо, обратившееся с запросом, не уполномочено на получение персональных данных Клиента или Контрагента, либо отсутствует письменное согласие Клиента или Контрагента на предоставление его персональных сведений, либо, по мнению Оператора, присутствует угроза жизни или здоровью Клиента или Контрагента, Оператор обязан отказать в предоставлении персональных данных лицу. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении персональных данных.
- Не сообщает персональные данные Клиента или Контрагента в коммерческих целях без его письменного согласия.
- Предупреждает лиц, получающих персональные данные Клиента или Контрагента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные Клиента или Контрагента, обязаны соблюдать требования конфиденциальности.
- Осуществляет передачу персональных данных Клиента или Контрагента в пределах своей организации в соответствии с настоящим Положением.
- Разрешает доступ к персональным данным Клиентов или Контрагентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Клиента или Контрагента, которые необходимы для выполнения конкретных функций. Лица, получающие персональные данные Клиента или Контрагента, обязаны соблюдать требования конфиденциальности.
- Не запрашивает информацию о состоянии здоровья Клиента или Контрагента, за исключением тех сведений, которые относятся к вопросу о возможности выполнения Клиентом или Контрагентов своих представительских функций.
- Передает персональные данные Клиента или Контрагента его представителям в порядке, установленном законодательством РФ, и ограничивает эту информацию только теми персональными данными Клиента или Контрагента, которые необходимы для выполнения указанными представителями их функций.
-
Не сообщает персональные данные Клиента или Контрагента третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, при поступлении официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях», а также в случаях, предусмотренных иными нормативно-правовыми актами.
- В случае если Оператору оказываются услуги юридическими или физическими лицами на основании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к персональным данным Клиентов или Контрагентов, то соответствующие данные предоставляются Оператором только после подписания с ними соглашения о конфиденциальности (неразглашении конфиденциальной информации).
Обязанности субъекта персональных данных и Оператора
- В целях обеспечения достоверности персональных данных, субъект персональных данных обязан:
- При заключении договора предоставить Оператору полные и достоверные данные о себе;
- В случае изменения сведений, составляющих персональные данные субъекта, незамедлительно, но не позднее пяти рабочих дней, предоставить данную информацию Оператору.
- Оператор обязан:
- Обеспечить защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ;
- Предоставить возможность субъектам персональных данных или их представителям ознакомиться с настоящим Положением и его правами в области защиты персональных данных;
- Обеспечить хранение первичной учетной документации. При этом персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные.
- Вести учет передачи персональных данных Клиента или Контрагента третьим лицам путем ведения соответствующего журнала, отражающего сведения о поступившем запросе (кто является отправителем запроса, дата его поступления Оператору, дату ответа на запрос, какая именно информация была передана либо отметка об отказе в ее предоставлении).
- В случае реорганизации или ликвидации Оператора учет и сохранность документов, порядок передачи их на государственное хранение осуществлять в соответствии с правилами, предусмотренными учредительными документами и действующим законодательством Российской Федерации.
- Вести журнал учета обращений субъектов персональных данных.
- Осуществлять передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации.
- По требованию субъекта или его законного представителя предоставить ему полную информацию о его персональных данных и обработке этих данных.
- Анализ угроз.
Обеспечение безопасности персональных данных, а также разработка и внедрение средств защиты персональных данных основывается на анализе угроз безопасности персональных данных.
Общество, при возникновении необходимости разрабатывает и поддерживает Частную модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (далее – Частная модель угроз).
Частная модель угроз отражает актуальное состояние защищенности информационных системах персональных данных и актуальные угрозы безопасности персональных данных. Разработка Частной модели угроз осуществляется на основании анализа существующих угроз безопасности и возможности их реализации в обследуемой информационных системах персональных данных.
- Порядок уничтожения персональных данных
Ответственным за уничтожение персональных данных является уполномоченное лицо, назначаемое приказом генерального директора.
При наступлении любого из событий, повлекших, согласно законодательства РФ, необходимость уничтожения персональных данных, Уполномоченное лицо обязано:
- установить перечень, тип, наименование, регистрационные номера и (или) другие данные носителей, на которых находятся персональные данные, подлежащие уничтожению (и/или материальные носители персональных данных);
- определить технологию (приём, способ) уничтожения персональных данных (и/или материальных носителей персональных данных);
- определить технические (материальные, программные и иные) средства, посредством которых будет произведено уничтожение персональных данных;
- произвести уничтожение персональных данных (и/или материальных носителей персональных данных);
- оформить соответствующий Акт об уничтожении персональных данных (и/или материальных носителей персональных данных) и представить Акт об уничтожении персональных данных (и/или материальных носителей персональных данных) на утверждение директору;
- в случае необходимости уведомить об уничтожении персональных данных субъекта персональных данных и/или уполномоченный орган.
Права Оператора при работе с персональными данными субъектов персональных данных
- Оператор, выступая в качестве оператора персональных данных, вправе:
- отстаивать свои интересы в суде;
- предоставлять персональные данные субъектов персональных данных государственным и иным уполномоченным органам, если это предусмотрено действующим законодательством РФ (налоговые, правоохранительные органы и др.);
- отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством РФ;
- обрабатывать персональные данные субъекта без его согласия, в случаях, предусмотренных законодательством РФ.
Права субъектов персональных данных в целях защиты персональных данных
- В целях обеспечения защиты персональных данных, хранящихся у Оператора, субъекты персональных данных имеют право на:
- Полную информацию о составе персональных данных и их обработке, в частности Клиент или Контрагент имеет право знать, кто и в каких целях использует или использовал информацию о его персональных данных.
- Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные Клиента или Контрагента, за исключением случаев, предусмотренных законодательством Российской Федерации.
- Уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- Определение своих представителей для защиты своих персональных данных.
- Требование об исключении или исправлении неверных или неполных устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для Оператора персональных данных. При отказе Оператора исключить или исправить персональные данные Клиента или Контрагента он имеет право заявить в письменной форме Оператору о своем несогласии с соответствующим обоснованием такого несогласия.
- Требование об извещении Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные Клиента или Контрагента, обо всех произведенных в них исключениях, исправлениях или дополнениях.
- Обжалование действий или бездействий Оператора, осуществляемых с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд.
- Отзыв согласия на обработку своих персональных данных.
- Принятие предусмотренных законом мер по защите своих прав.
- Осуществление иных прав, предусмотренных законодательством Российской Федерации.
Ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных
- Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством Российской Федерации.
Заключительные положения
- Настоящее Положение вступает в силу с момента его утверждения генеральным директором Оператора.
- Настоящее положение является внутренним документом Оператора, но при этом общедоступным, и подлежит размещению на сайте Общества.
- Оператор имеет право вносить изменения в настоящее Положение. Новая редакция Положения вступает в силу с момента ее размещения на веб-сайте, если иное не предусмотрено новой редакцией Положения.
- Если у субъекта персональных данных имеются какие бы то ни были комментарии, замечания, предложения, вопросы по настоящему Положению, а также если субъект персональных данных желает обновить имеющуюся у Оператора информацию о себе, потребовать удалить ее или осуществить свои иные права, субъект персональных данных может связаться с Оператором одним из следующих способов:
- отправить письмо Оператору на почтовый адрес: 142204, Московская область, г. Серпухов, Московское шоссе, д.53, помещение 7;
- отправить письмо Оператору на адрес электронной почты: pd@pkprom.com