ПОЛИТИКА КОМПАНИИ В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. ОБЩИЕПОЛОЖЕНИЯ
1.1. Политика обработки персональных данных(далее–Политика)разработана в
соответствии с Федеральным законом от 27.07.2006. №152-ФЗ «О персональных данных» (далее – ФЗ-152).
1.2. Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных
ИП Будяков А.С. ИНН
261005322039, далее именуемый Оператор, располагающегося по адресу:
344090, Российская Федерация, Ростовская область, г. Ростов-на-Дону, ул. Стабильная, д. 21, кВ. 202, с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. В Политике используются следующие основные понятия:
•
автоматизированная обработка персональных данных—обработка персональных данных с помощью средств вычислительной техники;
•
блокирование персональных данных — временное прекращение обработки персональных данных(заисключениемслучаев,еслиобработканеобходимадляуточненияперсональных данных);
•
информационная система персональных данных — совокупность содержащихся в базах данныхперсональныхданных,иобеспечивающихихобработкуинформационныхтехнологий и технических средств;
•
обезличивание персональных данных — действия, в результате которых невозможно определитьбезиспользованиядополнительнойинформациипринадлежностьперсональных данных конкретному субъекту персональных данных;
•
обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
•
оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющиеобработкуперсональныхданных,атакжеопределяющиецелиобработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
•
персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
•
предоставление персональных данных—действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
•
распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационныхсетяхилипредоставлениедоступакперсональным данным каким-либо иным способом;
•
трансграничная передача персональных данных — передача персональных данных на территориюиностранногогосударстваорганувластииностранногогосударства,иностранному физическому или иностранному юридическому лицу;
•
уничтожение персональных данных — действия, в результате которых невозможно восстановитьсодержаниеперсональныхданныхвинформационнойсистемеперсональных данных и (или) результате которых уничтожаются материальные носители персональных данных.
1.4. Компанияобязанаопубликоватьилиинымобразомобеспечитьнеограниченныйдоступк настоящейПолитикеобработкиперсональныхданныхвсоответствиисч.2ст.18.1.ФЗ-152.
2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХДАННЫХ
2.1. Принципы обработки персональных данных.
2.1.1. ОбработкаперсональныхданныхуОператораосуществляетсянаосновеследующих принципов:
• законности и справедливой основы;
• ограниченияобработкиперсональныхданныхдостижениемконкретных,заранее определенных и законных целей;
• недопущения обработки персональных данных, несовместимой с целям и сбора персональных данных;
• недопущенияобъединениябазданных,содержащихперсональныеданные,обработка которых осуществляется в целях, несовместимых между собой;
• обработкитолькотехперсональныхданных,которыеотвечаютцелямихобработки;
• соответствиясодержанияиобъемаобрабатываемыхперсональныхданныхзаявленным целям обработки;
• недопустимостиобработкиперсональныхданных,избыточныхпоотношениюкзаявленным целям их обработки;
• обеспеченияточности,достаточностииактуальностиперсональныхданныхпоотношениюк целям обработки персональных данных;
• уничтожения либо обезличивания персональных данных по достижении целей их обработки иливслучаеутратынеобходимостивдостиженииэтихцелей,приневозможностиустранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом.
2.2. Условия обработки персональных данных.
2.2.1. Операторпроизводитобработкуперсональныхданныхприналичиихотябыодногоиз следующих условий:
• обработкаперсональныхданныхосуществляетсяссогласиясубъектаперсональныхданных на обработку его персональных данных;
• обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнениявозложенныхзаконодательствомРоссийскойФедерациинаоператорафункций, полномочий и обязанностей;
• обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствиисзаконодательствомРоссийскойФедерацииобисполнительномпроизводстве;
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных,атакжедлязаключениядоговорапоинициативесубъектаперсональныхданныхили договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• обработкаперсональныхданныхнеобходимадляосуществленияправизаконныхинтересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее— общедоступные персональные данные);
• осуществляетсяобработкаперсональныхданных,подлежащихопубликованиюили обязательному раскрытию в соответствии с федеральным законом.
2.3. Конфиденциальность персональных данных.
2.3.1. Операторииныелица,получившиедоступкперсональнымданным,обязанынераскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
2.4. Общедоступные источники персональных данных.
2.4.1. ВцеляхинформационногообеспеченияуОператорамогутсоздаватьсяобщедоступные источникиперсональныхданныхсубъектовперсональныхданных,втомчислесправочникии адресные книги. В общедоступные источники персональных данных с письменного согласия субъектаперсональныхданныхмогутвключатьсяегофамилия,имя,отчество,датаиместо рождения, должность, номера контактных телефонов, адрес электронной почты и иные персональные данные, сообщаемые субъектом персональных данных.
2.4.2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступныхисточниковперсональныхданныхпотребованиюсубъектаперсональныхданных, уполномоченногоорганапозащитеправсубъектовперсональныхданныхлибопорешениюсуда.
2.5. Специальные категории персональных данных.
2.5.1. Обработка Оператором специальных категорий персональных данных, касающихся расовой, национальнойпринадлежности,политическихвзглядов,религиозныхилифилософскихубеждений, состояния здоровья, интимной жизни, допускается в случаях, если:
• субъектперсональныхданныхдалсогласиевписьменнойформенаобработкусвоих персональных данных;
• персональныеданныесделаныобщедоступнымисубъектомперсональныхданных;
• обработкаперсональныхданныхосуществляетсявсоответствиисзаконодательствомо государственнойсоциальнойпомощи,трудовымзаконодательством,законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненноважныхинтересовдругихлициполучениесогласиясубъектаперсональныхданных невозможно;
• обработкаперсональныхданныхосуществляетсявмедико-профилактическихцелях,вцелях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
• обработкаперсональныхданныхнеобходимадляустановленияилиосуществленияправ субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
• обработкаперсональныхданныхосуществляетсявсоответствиисзаконодательствомоб обязательных видах страхования, со страховым законодательством.
2.5.2. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных пунктом 4 статьи 10 ФЗ-152 должна быть незамедлительно прекращена, если устраненыпричины,вследствиекоторыхосуществляласьихобработка,еслииноенеустановлено федеральнымзаконом.
2.5.3. Обработка персональных данных о судимости может осуществляться Оператором исключительновслучаяхивпорядке,которыеопределяютсявсоответствиисфедеральными законами.
2.6. Биометрические персональныеданные.
2.6.1. Сведения,которыехарактеризуютфизиологическиеибиологическиеособенностичеловека,на основании которых можно установить его личность — биометрические персональные данные — могут обрабатываться Оператором только при наличии согласия субъекта персональных данных в письменнойформе.
2.7. Поручение обработки персональных данных другомулицу.
2.7.1. Операторвправепоручитьобработкуперсональныхданныхдругомулицуссогласиясубъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152 и настоящейПолитикой.
2.8. ОбработкаперсональныхданныхгражданРоссийскойФедерации.
2.8.1. Всоответствиисостатьей2Федеральногозаконаот21июля2014годаN242-ФЗ«Овнесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» при сборе персональныхданных,втомчислепосредствоминформационно-телекоммуникационнойсети
«Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев:
• обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнениявозложенныхзаконодательствомРоссийскойФедерациинаоператорафункций, полномочий иобязанностей;
• обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствиисзаконодательствомРоссийскойФедерацииобисполнительномпроизводстве (далее — исполнение судебногоакта);
• обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительныхоргановгосударственнойвластисубъектовРоссийскойФедерации,органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным закономот27июля2010годаN210-ФЗ«Оборганизациипредоставлениягосударственныхи муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальныхуслуг;
• обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либонаучной,литературнойилиинойтворческойдеятельностиприусловии,чтоприэтомне нарушаютсяправаизаконныеинтересысубъектаперсональныхданных.
2.9. Трансграничная передача персональныхданных.
2.9.1. Оператор обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита правсубъектовперсональныхданных,доначалаосуществлениятакойпередачи.
2.9.2. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающихадекватнойзащитыправсубъектовперсональныхданных,можетосуществляться вслучаях:
• наличиясогласиявписьменнойформесубъектаперсональныхданныхнатрансграничную передачу его персональныхданных;
• исполнениядоговора,сторонойкоторогоявляетсясубъектперсональныхданных.
3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХДАННЫХ
3.1. Согласиесубъектаперсональныхданныхнаобработкуегоперсональныхданных.
3.1.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
3.2. Права субъекта персональныхданных.
3.2.1. Субъект персональных данных имеет право на получение у Оператора информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральнымизаконами.СубъектперсональныхданныхвправетребоватьотОператорауточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимымидлязаявленнойцелиобработки,атакжеприниматьпредусмотренныезакономмеры по защите своихправ.
3.2.2. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществленияпрямыхконтактовссубъектомперсональныхданных(потенциальнымпотребителем) с помощью средств связи, а также в целях политической агитации допускается только при условии предварительногосогласиясубъектаперсональныхданных.
3.2.3. Операторобязаннемедленнопрекратитьпотребованиюсубъектаперсональныхданных обработку его персональных данных в вышеуказанныхцелях.
3.2.4. Запрещается принятие на основании исключительно автоматизированной обработки персональныхданныхрешений,порождающихюридическиепоследствиявотношениисубъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональныхданных.
3.2.5. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований ФЗ-152 или иным образом нарушает его права и свободы,субъектперсональныхданныхвправеобжаловатьдействияилибездействиеОператорав Уполномоченныйорганпозащитеправсубъектовперсональныхданныхиливсудебномпорядке.
3.2.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том численавозмещениеубыткови(или)компенсациюморальноговреда.
4. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХДАННЫХ
4.1. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализациейправовых,организационныхитехническихмер,необходимыхдляобеспечения требованийфедеральногозаконодательствавобластизащитыперсональныхданных.
4.2. ДляпредотвращениянесанкционированногодоступакперсональнымданнымОператором применяютсяследующиеорганизационно-техническиемеры:
• назначениедолжностныхлиц,ответственныхзаорганизациюобработкиизащиты персональныхданных;
• ограничение состава лиц, допущенных к обработке персональныхданных;
• ознакомлениесубъектовстребованиямифедеральногозаконодательстваинормативных документовОператорапообработкеизащитеперсональныхданных;
• организацияучета,храненияиобращенияносителей,содержащихинформациюс персональнымиданными;
• определениеугрозбезопасностиперсональныхданныхприихобработке,формированиена их основе моделейугроз;
• разработка на основе модели угроз системы защиты персональныхданных;
• использование средств защиты информации, прошедших процедуру оценки соответствия требованиямзаконодательстваРоссийскойФедерациивобластиобеспечениябезопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальныхугроз;
• проверкаготовностииэффективностииспользованиясредствзащитыинформации;
• разграничение доступа пользователей к информационным ресурсам и программно- аппаратным средствам обработкиинформации;
• регистрация и учет действий пользователей информационных систем персональныхданных;
• использованиеантивирусныхсредствисредстввосстановлениясистемызащиты персональныхданных;
• применение в необходимых случаях средств межсетевого экранирования,обнаружения вторжений,анализазащищенностиисредствкриптографическойзащитыинформации;
• организацияпропускногорежиманатерриториюОператора,охраныпомещенийс техническимисредствамиобработкиперсональныхданных.
5. ЗАКЛЮЧИТЕЛЬНЫЕПОЛОЖЕНИЯ
5.1. ИныеправаиобязанностиОператоравсвязисобработкойперсональныхданныхопределяются законодательствомРоссийскойФедерациивобластиперсональныхданных.
5.2. Работники Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональныхданных,несутматериальную,дисциплинарную,административную,гражданско-правовуюилиуголовнуюответственностьвпорядке,установленномфедеральнымизаконами.