fbpx

image001.jpg

Утверждаю

Генеральный директор ООО «РосЭкоАудит»

________________________ О.В. Стрыкова

«_____» ________________ 20 ____г.

Политика в отношении обработки персональных данных

1 Общие положения

1.1 Настоящий документ определяет политику Общества с ограниченной ответственностью «РосЭкоАудит» (далее – Компания) в отношении обработки персональных данных (далее – ПД).

1.2 Компания является оператором ПД в соответствии с законодательством Российской Федерации о ПД.

1.3 Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации о ПД:

— Федеральный закон Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – 152-ФЗ, ФЗ «О персональных данных»), устанавливающий основные принципы и условия обработки ПД, права, обязанности и ответственность участников отношений, связанных с обработкой ПД;

— Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

— Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

1.4 Действие настоящей Политики распространяется на любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.

1.5 Настоящая Политика подлежит пересмотру и, при необходимости, актуализации в случае изменений в законодательстве Российской Федерации о ПД.

1.6 В Политике используются следующие основные понятия:

автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

информационная система персональных данных – совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;

обезличивание персональных данных – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;

обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.

2 Принципы обработки ПД

Обработка ПД осуществляется на основе следующих принципов:

1) обработка ПД осуществляется на законной и справедливой основе;

2) обработка ПД ограничивается достижением конкретных, заранее определенных и законных целей;

3) обработка ПД, несовместимая с целями сбора ПД, не допускается;

4) не допускается объединение баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой;

5) содержание и объем обрабатываемых ПД соответствуют заявленным целям обработки. Обрабатываемые ПД не являются избыточными по отношению к заявленным целям обработки;

6) при обработке ПД обеспечивается точность ПД и их достаточность, в случаях необходимости и актуальность ПД по отношению к заявленным целям их обработки;

7) хранение ПД осуществляется в форме, позволяющей определить субъекта ПД не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД;

8) обрабатываемые ПД подлежат уничтожению или обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3 Условия обработки ПД

3.1 Обработка ПД осуществляется с соблюдением принципов и правил, установленных ФЗ «О персональных данных». Обработка ПД осуществляется в следующих случаях:

1) обработка ПД осуществляется с согласия субъекта ПД на обработку его ПД;

2) обработка ПД необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет являться выгодоприобретателем или поручителем;

4) обработка ПД необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия субъекта ПД невозможно;

5) обработка ПД необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПД;

6) обработка ПД осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПД. Исключение составляет обработка ПД в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи;

7) осуществляется обработка ПД, доступ неограниченного круга лиц, к которым предоставлен субъектом ПД либо по его просьбе.

3.2 Компания может включать ПД субъектов в общедоступные источники ПД, при этом Компания берет письменное согласие субъекта на обработку его ПД.

3.3 Компания может осуществлять обработку данных о состоянии здоровья субъекта ПД в следующих случаях:

1) в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;

2) для защиты жизни, здоровья или иных жизненно важных интересов работника либо для защиты жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта ПД невозможно;

3) для установления или осуществления прав работника или третьих лиц, а равно и в связи с осуществлением правосудия;

4) в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

3.4 Принятие на основании исключительно автоматизированной обработки ПД решений, порождающих юридические последствия в отношении субъекта ПД или иным образом затрагивающих его права и законные интересы, не осуществляется.

3.5 Компания может осуществлять обработку ПД по поручению оператора на основании заключенного договора между Компанией и оператором.

3.6 При отсутствии необходимости письменного согласия субъекта на обработку его ПД согласие субъекта может быть дано субъектом ПД или его представителем в любой позволяющей получить факт его получения форме.

3.7 Компания не передает полученные ПД сторонним лицам.

4 Обязанности Компании

В соответствии с требованиями ФЗ «О персональных данных» Компания обязана:

1) предоставлять субъекту ПД по его запросу информацию, касающуюся обработки его ПД, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса субъекта ПД или его представителя;

2) по требованию субъекта ПД уточнять, блокировать или удалять обрабатываемые ПД, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки в срок, не превышающий семи рабочих дней со дня предоставления субъектом ПД или его представителем сведений, подтверждающих эти факты;

3) вести Журнал учета обращений субъектов ПД, в котором должны фиксироваться запросы субъектов ПД на получение ПД, а также факты предоставления ПД по этим запросам;

4) уведомлять субъекта ПД об обработке ПД в том случае, если ПД были получены не от субъекта ПД. Исключение составляют следующие случаи:

— субъект ПД уведомлен об осуществлении обработки Компанией его ПД;

— ПД получены Компанией в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД или на основании федерального закона;

— ПД сделаны общедоступными субъектом ПД или получены из общедоступного источника;

— Компания осуществляет обработку ПД для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта ПД;

— предоставление субъекту ПД сведений, содержащихся в Уведомлении об обработке ПД, нарушает права и законные интересы третьих лиц;

5) в случае достижения цели обработки ПД незамедлительно прекратить обработку ПД и уничтожить соответствующие ПД в срок, не превышающий тридцати дней с даты достижения цели обработки ПД, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, иным соглашением между Компанией и субъектом ПД либо если Компания не вправе осуществлять обработку ПД без согласия субъекта ПД на основаниях, предусмотренных ФЗ «О персональных данных» или другими федеральными законами;

6) в случае отзыва субъектом ПД согласия на обработку своих ПД прекратить обработку ПД и уничтожить ПД в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Компанией и субъектом ПД. Об уничтожении ПД Компания обязана уведомить субъекта ПД;

7) в случае поступления требования субъекта ПД о прекращении обработки ПД, полученных в целях продвижения товаров, работ, услуг на рынке, немедленно прекратить обработку ПД.

5 Меры по обеспечению безопасности ПД при их обработке

5.1 При обработке ПД Компания применяет необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД.

5.2 Обеспечение безопасности ПД достигается следующими мерами:

1) определение угроз безопасности ПД при их обработке в информационных системах ПД;

2) применение организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах ПД, необходимых для выполнения требований к защите ПД, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПД;

3) применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

4) оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы ПД;

5) учет машинных носителей ПД;

6) обнаружение фактов несанкционированного доступа к ПД и принятие мер;

7) восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установление правил доступа к ПД, обрабатываемым в информационной системе ПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в информационной системе ПД;

9) контроль за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности информационных систем ПД.

6 Права субъекта ПД

В соответствии с ФЗ «О персональных данных» субъект ПД имеет право:

1) получить сведения, касающиеся обработки ПД Компанией, а именно:

— подтверждение факта обработки ПД Компанией;

— правовые основания и цели обработки ПД Компанией;

— применяемые Компанией способы обработки ПД;

— наименование и место нахождения Компании, сведения о лицах, которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с оператором или на основании федерального закона;

— обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

— сроки обработки ПД Компанией, в том числе сроки их хранения;

— порядок осуществления субъектом ПД прав, предусмотренных ФЗ «О персональных данных»;

— информацию об осуществленной или предполагаемой трансграничной передаче данных;

— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Компании, если обработка поручена или будет поручена такому лицу;

— иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами;

2) потребовать от Компании уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

3) отозвать согласие на обработку ПД в предусмотренных законом случаях.

7 Порядок осуществления прав

7.1 Обращение субъекта ПД к Оператору в целях реализации его прав, установленных ФЗ «О персональных данных», осуществляется в письменном виде по установленной форме при личном визите в Компанию субъекта ПД или его представителя. (Здесь и далее по тексту под субъектами ПД понимается как сам субъект ПД, так и его законный представитель: родитель, опекун, попечитель и иные лица, полномочия которых установлены № 152-ФЗ либо иным законом Российской Федерации).

7.2 Форма обращения выдается субъекту ПД или его представителю Оператором и заполняется субъектом ПД или его представителем с проставлением собственноручной подписи в присутствии указанного работника.

7.3 Работник Оператора, получив обращение по установленной форме, сверяет указанные в нем сведения об основном документе, удостоверяющем личность субъекта ПД, основания, по которым лицо выступает в качестве представителя субъекта ПД, и представленные при обращении оригиналы данного документа.

7.4 Ответ на обращение отправляется субъекту ПД в письменном виде по почте на адрес, указанный в обращении.

7.5 Срок формирования ответа и передачи в почтовое отделение для отправки не может превышать тридцати дней с даты получения оператором обращения.

7.6 Срок внесения необходимых изменений в ПД, являющиеся неполными, неточными или неактуальными, не может превышать семи рабочих дней со дня предоставления субъектом ПД или его представителем сведений, подтверждающих, что ПД являются неполными, неточными или неактуальными.

7.7 Срок уничтожения ПД, являющихся незаконно полученными или не являющихся необходимыми для заявленной цели обработки, не может превышать семи рабочих дней со дня предоставления субъектом ПД или его представителем сведений, подтверждающих, что ПД являются незаконно полученными или не являются необходимыми для заявленной цели обработки.

8 Ограничения прав субъектов ПД

8.1 Право субъекта ПД на доступ к своим ПД ограничивается в случае, если предоставление ПД нарушает права и законные интересы других лиц.

8.2 В случае если сведения, касающиеся обработки ПД, а также обрабатываемые ПД были предоставлены для ознакомления субъекту ПД по его запросу, субъект ПД вправе направить повторный запрос в целях получения сведений, касающихся обработки ПД, и ознакомления с такими ПД не ранее чем через тридцать дней после направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД.

8.3 Субъект ПД вправе направить Компании повторный запрос в целях получения сведений, касающихся обработки ПД, а также в целях ознакомления с обрабатываемыми ПД до истечения срока, указанного в п. 8.2 в случае, если такие сведения и (или) обрабатываемые ПД не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального запроса. Повторный запрос должен содержать обоснование направления повторного запроса.

8.4 Компания вправе отказать субъекту ПД в выполнении повторного запроса, не соответствующего условиям, предусмотренным пп. 8.2 и 8.3.

WhatsApp chat
%d такие блоггеры, как: