Политика обработки персональных данных
1. Общие положения
1.1.Настоящая Политика обработки персональных данных (далее – Политика) разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», а также иными федеральными законами и нормативными правовыми актами.
1.2. Политика определяет основные цели, принципы, условия и способы обработки персональных данных для обеспечения защиты прав и свобод субъектов персональных данных при обработке их персональных данных.
1.3. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки персональных данных работников и других субъектов персональных данных.
1.2. Политика определяет основные цели, принципы, условия и способы обработки персональных данных для обеспечения защиты прав и свобод субъектов персональных данных при обработке их персональных данных.
1.3. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки персональных данных работников и других субъектов персональных данных.
2. Основные понятия, используемые в Политике
- информация – сведения (сообщения, данные) независимо от формы их представления;
- персональные данные – любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных);
- оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- субъект персональных данных – физическое лицо прямо или косвенно определяемое при помощи персональных данных;
- обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в том числе следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных – действия, направленные на раскрытие персональных данных определенному кругу лиц;
- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному кругу лиц;
- блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
- конфиденциальность персональных данных – нераскрытие и нераспространение персональных данных третьим лицам операторами и иными лицами, получившими доступ к таким персональным данным, без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3. Цели обработки персональных данных
3.1. Персональные данные обрабатываются в следующих целях:
3.1.1. Осуществление и выполнение возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей, в частности:
3.1.1. Осуществление и выполнение возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей, в частности:
- выполнение требований законодательства в сфере труда и налогообложения;
- исполнение договорных обязательств, ведение бухгалтерского и налогового учета, формирование налоговой отчетности;
- осуществление прав и законных интересов Общества в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Общества, или третьих лиц либо достижения общественно значимых целей;
- в иных законных целях.
4. Принципы обработки персональных данных
4.1. Обработка персональных данных осуществляется на основе следующих принципов:
обработка персональных данных осуществляется на законной и справедливой основе;
обработка персональных данных ограничивается достижением конкретных, заранее определенных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
обработке подлежат только персональные данные, которые отвечают целям их обработки;
содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям;
при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Должны предприниматься необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных и неточных персональных данных;
хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
обработка персональных данных осуществляется на законной и справедливой основе;
обработка персональных данных ограничивается достижением конкретных, заранее определенных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
обработке подлежат только персональные данные, которые отвечают целям их обработки;
содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям;
при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Должны предприниматься необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных и неточных персональных данных;
хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5. Объем обрабатываемых персональных данных
5.1. Объем обрабатываемых персональных данных определяется в соответствии с законодательством Российской Федерации, а также локальными нормативными актами с учетом целей обработки персональных данных, указанных в настоящем Положении.
5.2. Не допускается обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждении, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных ч. 2. ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
5.2. Не допускается обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждении, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных ч. 2. ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
6. Категории субъектов, обработка персональных данных
6.1. Обработка персональных данных осуществляется в отношении следующих категорий субъектов:
работники;
иные субъекты, обработка персональных данных которых осуществляется в целях, указанных в настоящем Положении.
работники;
иные субъекты, обработка персональных данных которых осуществляется в целях, указанных в настоящем Положении.
7. Источники получения персональных данных субъектов
7.1. Получает персональные данные из следующих источников:
непосредственно от самого субъекта персональных данных;
из общедоступных источников персональных данных;
непосредственно от самого субъекта персональных данных;
из общедоступных источников персональных данных;
8. Способы, порядок и условия обработки персональных данных
8.1. В целях, указанных в настоящей Политике, обрабатывает персональные данные субъектов посредством осуществления следующих действий: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, уничтожение персональных.
8.2. Обработка персональных данных субъектов осуществляется следующими способами:
неавтоматизированная обработка персональных данных;
автоматизированная обработка персональных данных;
смешанная обработка персональных данных.
8.3. В целях выполнения обязанностей в части обработки персональных данных, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми локальными нормативными актами, принимаются следующие меры:
назначается лицо, ответственное за организацию обработки персональных данных в;
издает локальные нормативные акты, определяющие политику в отношении обработки персональных данных;
публикуются или иным образом обеспечивается неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных;
знакомим работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников;
применяются необходимые правовые, организационные и технические меры по обеспечению (или обеспечивает их принятии) защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.2. Обработка персональных данных субъектов осуществляется следующими способами:
неавтоматизированная обработка персональных данных;
автоматизированная обработка персональных данных;
смешанная обработка персональных данных.
8.3. В целях выполнения обязанностей в части обработки персональных данных, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми локальными нормативными актами, принимаются следующие меры:
назначается лицо, ответственное за организацию обработки персональных данных в;
издает локальные нормативные акты, определяющие политику в отношении обработки персональных данных;
публикуются или иным образом обеспечивается неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных;
знакомим работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников;
применяются необходимые правовые, организационные и технические меры по обеспечению (или обеспечивает их принятии) защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
9. Право субъекта персональных данных на доступ к его персональным данным
9.1. Субъект персональных данных вправе требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.2. Сведения предоставляются субъекту персональных данных в доступной форме.
9.3. Сведения предоставляются субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
9.4. Субъект персональных данных вправе обратиться повторно к Обществу или направить ему повторный запрос в целях получения сведений, указанных в п. 9.1 Положения, а также ознакомления с обрабатываемыми персональными данными не ранее чем за 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
9.5. Субъект персональных данных вправе повторно обратиться к Обществу или направить ему повторный запрос в целях получения сведений, указанных в п. 9.1 Положения, а также ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 9.4 Положения, в случае если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. 9.3 Положения, должен содержать обоснование направленного повторного запроса.
9.6. Общество вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п. 9.4 – 9.5 Положения. Такой отказ должен быть мотивированным. Обязанность предоставления доказательств обоснованности отказа в выполнении повторного запроса лежит на Обществе.
9.7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных Обществом;
правовые основания и цели обработки персональных данных;
цели и применяемые Обществом способы обработки персональных данных;
наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
информацию об осуществленной или предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу.
9.2. Сведения предоставляются субъекту персональных данных в доступной форме.
9.3. Сведения предоставляются субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
9.4. Субъект персональных данных вправе обратиться повторно к Обществу или направить ему повторный запрос в целях получения сведений, указанных в п. 9.1 Положения, а также ознакомления с обрабатываемыми персональными данными не ранее чем за 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
9.5. Субъект персональных данных вправе повторно обратиться к Обществу или направить ему повторный запрос в целях получения сведений, указанных в п. 9.1 Положения, а также ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 9.4 Положения, в случае если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. 9.3 Положения, должен содержать обоснование направленного повторного запроса.
9.6. Общество вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п. 9.4 – 9.5 Положения. Такой отказ должен быть мотивированным. Обязанность предоставления доказательств обоснованности отказа в выполнении повторного запроса лежит на Обществе.
9.7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных Обществом;
правовые основания и цели обработки персональных данных;
цели и применяемые Обществом способы обработки персональных данных;
наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
информацию об осуществленной или предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу.
10. Ответственность за нарушение требований, регулирующих обработку и защиту персональных данных
10.1. Общество несет ответственность за соблюдение требований законодательства Российской Федерации, регулирующих обработку персональных данных, обеспечение конфиденциальности и безопасности персональных данных при их обработке.