Политика об обработке и защите персональных данных ООО «Феникс»

  1. Общие положения

1.1. Политика об обработке и защите персональных данных (далее — Политика)  применяется ООО «Феникс» (далее — Оператор) в соответствии с пунктом 2 части 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и является его внутренним документом.

Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных Оператором.

Настоящая Политика определяет ключевые направления деятельности Оператора при  обработке и защите персональных данных.

Обработка персональных данных Оператором осуществляется в связи с выполнением функций, предусмотренных его учредительными документами.

Все вопросы, связанные с обработкой и защитой персональных данных, не урегулированные настоящей Политикой, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.

Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте Оператора.

Действующая редакция храниться в месте нахождения Оператора, электронная версия Политики – на официальном сайте дружбаво35.рф

1.2. Основной задачей обеспечения безопасности персональных данных при их обработке Оператором является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки.

Целями обработки персональных данных являются:

— обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;

— исполнение обязательств Оператора и осуществление прав Оператора в рамках гражданско-правовых отношений в соответствии с учредительными документами Оператора;

— защита персональных данных работников Оператора от несанкционированного доступа и разглашения.

1.3.  Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и настоящей Политикой.

Обработка организована Оператором на принципах:

— законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;

— ограничения обработки персональных данных достижением конкретных, заранее определенных законных целей;

— достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

— обработки только персональных данных, которые отвечают целям их обработки. Недопустима обработка персональных данных, несовместимая с целями сбора персональных данных;

— недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

— обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;

— хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

 

  1. Порядок обработки персональных данных

2.1. Все персональные данные следует получать от самого субъекта. Если персональные данные субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие на обработку персональных данных.

Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, перечне действий с персональными данными, сроке, в течение которого действует согласие и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.

Документы, содержащие персональные данные создаются путем:

— копирования оригиналов документов;

— внесения сведений в учетные формы, с оригиналов документов;

— получения оригиналов необходимых документов.

2.2. Способы обработки персональных данных:

— с использованием средств автоматизации;

— без использования средств автоматизации.

2.3. Обработка персональных данных осуществляется:

— с согласия субъекта персональных данных на обработку его персональных данных;

— в случаях, когда обработка персональных данных необходима для осуществления и выполнения, возложенных законодательством Российской Федерации полномочий и обязанностей;

— в случае, когда субъектом персональных данных предоставлен доступ неограниченному кругу лиц.

2.4. Категории субъектов персональных данных.

В информационных системах Оператора осуществляется обработка следующих категорий персональных данных:

— физические лица, состоящие с Оператором в трудовых отношениях (в том числе члены семьи), бывшие работники Оператора, кандидаты для приема на работу;

— физические лица, состоящие с Оператором в гражданско-правовых отношениях;

— физические лица, получающие услуги отдыха и оздоровления несовершеннолетних, предоставляемые Оператором.

2.5. Персональные данные, обрабатываемые Оператором:

— данные, полученные при осуществлении трудовых отношений и иные лица, персональные данные которых необходимо обрабатывать в соответствии с трудовым законодательством;

— данные, полученные при осуществлении гражданско-правовых отношений;

— данные, полученные при оказании услуг Оператором.

2.6. В соответствии с поставленными целями и задачами Оператор до начала обработки персональных данных назначает ответственных за организацию обработки персональных данных, именуемых далее  — Кураторы.

Кураторы вправе оформлять уведомление, предусмотренное ч. 1 и 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

2.7. Доступ сотрудников Оператора к обрабатываемым персональным данным осуществляется в соответствии с их должностными обязанностями. Допущенные к обработке персональных данных сотрудники под роспись знакомятся с документами Оператора, устанавливающими порядок обработки персональных данных.

2.8. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

2.9. За соблюдением сотрудниками Оператора требований законодательства Российской Федерации и положений локальных актов Оператора организован контроль. Контроль заключается в проверке Кураторами выполнения требований нормативных документов по защите информации.

2.10. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего Оператору сайта в информационно-телекоммуникационной сети Интернет, с использованием которых осуществляется сбор персональных данных, настоящую Политику, а также обеспечить возможность доступа к документу с использованием средств соответствующей информационно-телекоммуникационной сети.

2.11. Оператор обязан представить документы и локальные акты, указанные в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», и (или) иным образом подтвердить принятие мер, указанных в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», по запросу уполномоченного органа по защите прав субъектов персональных данных в течение 10 десяти рабочих дней.

2.12. Условия обработки персональных данных Оператором:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для исполнения договора, стороной по которому является субъект персональных данных или с субъектом персональных данных оформлены трудовые отношения.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, а также право на уточнение данных, их блокирование или уничтожение в случае, если они являются недостоверными.

При отказе в предоставлении персональных данных субъекту разъясняются последствия такого отказа.

2.13. Оператор на основании договора может поручить обработку персональных данных третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку персональных данных, обязанность соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

2.14. Хранение персональных данных:

Персональные данные от субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде.

Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых

шкафах, либо в запираемых помещениях с ограниченным правом доступа.

Персональные данные, обрабатываемые с использованием средств автоматизации хранятся в разных папках. Не допускается хранение и размещение документов, содержащих персональные данные в открытых электронных каталогах.

Хранение персональных данных в форме, позволяющей определить субъект персональных данных, осуществляется не дольше, чем этого требуют цели их обработки и в соответствии с нормами действующего законодательства.

2.15. Уничтожение персональных данных:

Уничтожение документов (носителей), содержащих персональные данные производится путем сожжения, дробления (измельчения), превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.

Уничтожение производится комиссией. Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей, подписанным членами комиссии.

2.16. Передача персональных данных:

Оператор передает персональные данные третьим лицам в следующих случаях:

— субъект персональных данных выразил согласие на такие действия;

— передача предусмотрена нормами действующего законодательства Российской Федерации.

2.17. Защита персональных данных:

Оператором создана система защиты персональных данных, состоящая из подсистем правовой, организационной и технической защиты.

Подсистема правовой защиты представляет собой комплекс локальных нормативных документов, обеспечивающих создание, функционирование и совершенствование системы защиты персональных данных.

Подсистема организационной защиты включает в себя организацию защиты персональных данных при работе с сотрудниками, партнерами и сторонними лицами.

Подсистема технической защиты включает в себя комплекс технических, программных средств обеспечивающих защиту персональных данных.

Основными мерами защиты персональных данных являются:

— предоставление специалистам Оператора, имеющим право осуществлять обработку персональных данных уникальных логинов и паролей для доступа к соответствующей информационной системе Оператора. Доступ к информационной системе предоставляется в соответствии с функциями, предусмотренными должностными регламентами специалистов.

— обеспечение функционирования компьютерной техники с учетом технических требований информационных систем и средств защиты информации, а также функции уничтожения информации;

— обнаружение и регистрация фактов несанкционированного доступа к персональным данным и принятие мер, направленных на пресечение повторных попыток несанкционированного доступа.

  1. Порядок обеспечения оператором прав субъекта персональных данных

3.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.

3.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном гл. 3 и 4 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

3.3. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в порядке ст. ст. 185 и 185.1 Гражданского кодекса Российской Федерации, ч. 2 ст. 53 Гражданского процессуального кодекса Российской Федерации или удостоверенной нотариально согласно ст. 59 Основ законодательства Российской Федерации о нотариате (утв. Верховным Советом Российской Федерации 11.02.1993 № 4462-1). Копия доверенности представителя, отснятая специалистом с оригинала, хранится Оператором не менее трех лет, а в случае, если срок хранения персональных данных больше трех лет, — не менее срока хранения персональных данных.

3.4. Сведения, указанные в ч. 7 ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», предоставляются субъекту персональных данных специалистом в доступной форме без персональных данных, относящихся к другим субъектам персональных данных.

3.5. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в ч. 1 ст. 15 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

3.6. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту своего расположения в рабочее время.

3.7. Оператор в течение 10 (десяти) рабочих дней с момента исправления или уничтожения персональных данных по требованию субъекта персональных данных или его представителя обязан уведомить его о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

3.8. Субъект персональных данных может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты druzhba035@yandex.ru

Настоящая Политика и изменения к ней утверждаются генеральным директором Оператора.