Политика обработки персональных данных
ПЕРЕЧЕНЬ СОКРАЩЕНИЙ
АС - Автоматизированная система «Абрикос-АС»
Оператор,Общество - ООО «АБРИКОС ПРОЕКТЫ»
ПДн - Персональные данные
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика (далее – Политика) определяет принципы, порядок и условия обработки персональных данных лиц, чьи персональные данные обрабатываются, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц оператора, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.2. Политика разработана в соответствии со следующими документами:
– Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
– Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных). Перечень персональных данных, подлежащих защите, определятся целями их обработки, ФЗ 152, ТК РФ и другими нормативно-правовыми актами.
2.2. Оператором обрабатываются следующие персональных данные граждан РФ (заказчиков):
– ФИО;
– Должность;
– Дата рождения;
– Номер телефона;
– Место работы;
– Адрес электронной почты;
– Фото.
2.3. Обработка персональных данных включает в себя в том числе:
сбор;
запись;
систематизацию;
хранение;
уточнение (обновление, изменение);
блокирование;
удаление;
уничтожение.
3. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Оператор осуществляет обработку персональных данных в следующих целях:
– Проведение идентификации на маркетинговых мероприятиях.
4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных. Персональные данные оператором обрабатываются на основании:
– согласия на обработку персональных данных;
– договоров, заключенных между оператором и субъектом персональных данных.
5. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Сроки обработки персональных данных определяются в соответствии со сроком действия договора (соглашением) с субъектом персональных данных, Федеральным Законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», сроком исковой давности, а также иными требованиями законодательства РФ.
5.2. Оператором создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Требования к использованию оператором данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
6. ПРАВА И ОБЯЗАННОСТИ
6.1. Оператор персональных данных в праве:
– отстаивать свои интересы в суде;
– предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
– отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
– использовать персональные данные субъекта без его согласия, в случаях, предусмотренных законодательством.
6.2. Оператор персональных данных обязан:
– обеспечить каждому субъекту персональных данных возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом;
– внести необходимые изменения, уничтожить или блокировать персональные данные в случае предоставления субъектом неполных, устаревших, недостоверных или незаконно полученных персональных данных, а также уведомить о своих действиях субъекта персональных данных;
– выполнять требования законодательства Российской Федерации.
6.3. Субъект персональных данных имеет право:
– требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
– требовать перечень своих персональных данных, обрабатываемых оператором и источник их получения;
– получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
– требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
– обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.
6.4. Субъект персональных данных обязан:
– передавать достоверные, необходимые для достижения целей обработки, персональные данные, а также подтверждать достоверность персональных данных предъявлением оригиналов документов;
– в случае изменения персональных данных, необходимых для достижения целей обработки, сообщить оператору уточненные персональные данные и подтвердить изменения оригиналами документов;
– выполнять требования законодательства Российской Федерации.
7. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
7.2. Под обработкой персональных данных понимается сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение персональных данных.
7.3. Персональные данные не передаются третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации.
7.4. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
7.5. Трансграничная передача ПДн не осуществляется.
7.6. Обработка персональных данных оператором производится на основе соблюдения принципов:
– законности целей и способов обработки персональных данных;
– соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
– соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
– достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
– недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
– хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
– уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.
7.7. Отказ субъекта персональных данных от предоставления согласия на обработку его персональных данных влечет за собой невозможность достижения целей обработки.
8. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Оператор предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
8.2. Оператором для обеспечения безопасности персональных данных приняты следующие меры:
– назначено лицо, ответственное за организацию обработки персональных данных;
– назначен администратор безопасности АС;
– утверждены документы, определяющие политику оператора в отношении обработки персональных данных и устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства;
– устранение последствий нарушений законодательства Российской Федерации производится в соответствии с действующим законодательством Российской Федерации, в соответствии с положением об обработке и защите персональных данных, а также в соответствии с инструкцией администратору безопасности персональных данных;
– внутренний контроль соответствия обработки персональных данных законодательству РФ в данной сфере производится в соответствии с планом внутренних проверок, инструкцией администратора безопасности и положением об обработке и защите персональных данных;
– для АС разработана модель угроз безопасности персональных данных, в которой при определении опасности угроз проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства;
– правила доступа к персональным данным утверждены в соответствующем положении, технически реализуются с помощью средств защиты информации;
– работники, допущенные к обработке персональных данных, проходят инструктажи о информационной безопасности, подписывают соглашение о неразглашении персональных данных, знакомятся с документами по защите персональных данных под подпись.
9. ЗАКЛЮЧИТЕЛЬНОЕ ПОЛОЖЕНИЕ
9.1. К Политике обеспечивается неограниченный доступ.
9.2. Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.
9.3. Контроль исполнения требований Политики осуществляется ответственным за организацию обработки персональных данных.
9.4. Ответственность должностных лиц оператора, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами оператора.