ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения
1.1. Настоящая Политика в отношении обработки и защиты персональных данных (политика конфиденциальности) (далее – Политика) разработана и утверждена Обществом с ограниченной ответственностью «___________________», ОГРН __________________, ИНН/КПП ___________, адрес места нахождения: ______________________; адрес официального сайта в сети Интернет: __________________________________ (далее – Общество, Оператор персональных данных).
1.2. Настоящая Политика определяет принципы и цели обработки персональных данных; категории субъектов персональных данных и категории обрабатываемых персональных данных; порядок и сроки обработки и хранения персональных данных; порядок актуализации, блокирования и уничтожения персональных данных; меры, принимаемые Обществом, для обеспечения безопасности персональных данных ; о сновные права субъекта персональных данных и обязанности Общества.
1.3. Настоящая Политика разработана в соответствии со следующими нормативными правовыми актами и документами Общества:
• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»);
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена заместителем директора ФСТЭК России 15.02.2008;
• Локальные правовые акты Общества по вопросам обработки и защиты персональных данных.
2. Основные понятия, используемые в настоящей Политике
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор – юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных – совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Уровень защищенности персональных данных – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных .
Ответственный за организацию обработки персональных данных – должностное лицо оператора, ответственное за организацию обработки персональных данных.
3. Принципы и цели обработки персональных данных
3.1. При обработке персональных данных Общество основывается на следующих принципах:
3.1.1. обработка персональных данных должна осуществляться на законной и справедливой основе;
3.1.2. обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных , несовместимая с целями сбора персональных данных;
3.1.3. н е допускается объединение баз данных, содержащих персональных данные , обработка которых осуществляется в целях, несовместимых между собой;
3.1.4. обработке подлежат только персональные данные, которые отвечают целям их обработки;
3.1.5. содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки;
3.1.6. не допускается обработка персональных данных излишних по отношению к заявленным целям обработки;
3.1.7. п ри обработке персональных данных должны быть обеспечены точность персональных данных , их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных . Неполные или неточные персональные данные должны быть соответственно удалены или уточнены;
3.1.8. хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных , не дольше, чем этого требуют цели обработки персональных данных , если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
3.1.9. по достижении целей обработки или в случае утраты необходимости в достижении этих целей, персональные данные должны быть уничтожены или обезличены, если иное не предусмотрено Федеральным законом «О персональных данных».
3.2. Общество осуществляет о бработку персональных данных в целях:
3.2.1. осуществления своей уставной деятельности , деятельности в области отдыха и развлечений, деятельности танцплощадок, дискотек и школ танцев;
3.2.2. обеспечения выполнения требований трудового законодательства Российской Федерации и иных нормативных правовых актов в области регулирования трудовых отношений с работниками, бывшими работниками Общества, в том числе для целей отбора кандидатов на замещение вакантных должностей;
3.2.3. ведения кадровой работы и бухгалтерского учета;
3.2.4. заключения и исполнения гражданско-правового договора на оказание услуг и (или) выполнение работ;
3.2.5. обработки и получения платежей, а также возврата денежных средств;
3.2.6. организации доступа, учета и регистрации посетителей Общества;
3.2.7. установления обратной с вязи с субъектом персональных данных;
3.2.8. направления субъекту персональных данных рекламных и информационных сообщений, запросов и уведомлений об услугах и продуктах Общества;
3.2.9. обработки обращений и заявлений клиентов и контрагентов Общества;
3.2.10. проведения статистических, аналитических и иных исследований на основе обезличенных данных;
3.2.11. улучшения качества и продвижения на рынке оказываемых Обществом услуг;
3.2.12. выполнения иных требований, предусмотренных законодательством Российской Федерации , уставом и организационно-распорядительными документами Общества.
4. Категории субъектов персональных данных и категории обрабатываемых персональных данных
4.1. Общество осуществляет обработку персональных данных своих работников, клиентов и контрагентов – физических лиц, а также их представителей (законных представителей).
4.2. Общество осуществляет обработку следующих персональных данных в зависимости от субъекта персональных данных:
4.2.1. физические лица – работники Общества, состоящие в трудовых и гражданско-правовых отношениях, бывшие работники и кандидаты на замещение вакантных должностей:
• фамилия, имя и отчество;
• дата и место рождения;
• паспортные данные (серия, номер паспорта, кем и когда выдан);
• место регистрации и место жительства (если отличается от места регистрации);
• контактный номер телефона;
• контактный адрес электронной почты;
• страховой номер индивидуального лицевого счета;
• идентификационный номер налогоплательщика;
• основной государственный регистрационный номер индивидуального предпринимателя;
• данные банковской карты (применимо только для случаев перечисление заработной платы/ оплаты работы по гражданско-правовому договору на карту) ;
• и нформация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);
• информация о трудовой деятельности (место работы, должность, период работы, причины увольнения);
• семейное положение и состав семьи.
4.2.2. физические лица – клиенты и контрагенты Общества :
• фамилия, имя и отчество;
• дата и место рождения;
• паспортные данные (серия, номер паспорта, кем и когда выдан);
• место регистрации и место жительства (если отличается от места регистрации);
• контактный номер телефона;
• контактный адрес электронной почты;
• данные банковской карты (применимо только для случаев оплаты услуг Общества безналичным расчетом) .
4.2.3. физические лица – представители (законные представители) клиентов и контрагентов Общества :
• фамилия, имя и отчество;
• дата и место рождения;
• паспортные данные (серия, номер паспорта, кем и когда выдан);
• место регистрации и место жительства (если отличается от места регистрации);
• контактный номер телефона;
• контактный адрес электронной почты;
• данные банковской карты (применимо только для случаев оплаты услуг Общества безналичным расчетом) .
4.3. Общество не ведет сбор и обработку биометрических и специальных категорий персональных данных , в том числе информации о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни субъекта персональных данных .
5. Порядок и сроки обработки персональных данных
5.1. Обработка персональных данных осуществляется в соответствии с требованиями Федерального закона «О персональных данных», настоящей Политикой и локальными правовыми актами Общества по вопросам обработки и защиты персональных данных.
5 .2. Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных .
5 .3. Общество осуществляет обработку персональных данных с использованием и без использования средств автоматизации; с передачей по внутренней сети Общества и по сети Интернет.
5 .4. Общество самостоятельно осуществляет обработку персональных данных, свои функции по обработке персональных данных третьим лицам не передает.
5.5. Все персональные данные Общество получает непосредственно от субъекта персональных данных. Субъект самостоятельно принимает решение о предоставлении Обществу своих персональных данных, в подтверждение чего дает письменное согласие на их обработку (Приложение № 1).
5.6. Письменное согласие на обработку персональных данных не требуется, если обработка осуществляется:
5 .6.1. для заключения и (или) исполнения договора , стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
5 .6.2. в отношении общедоступных персональных данных (доступных для неограниченного круга лиц).
5.7. В случаях, когда Общество может получить необходимые персональные данные субъекта только у третьей стороны, субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении Общество обязано сообщить о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение. Согласие оформляется в письменной форме в двух экземплярах, один из которых предоставляется субъекту, второй хранится у Общества.
5 .8. Общество не предоставляет и не раскрывает третьим лицам информацию, содержащую персональные данные, без наличия соответствующего согласия субъекта персональных данных, за исключением случаев прямо предусмотренных законодательством Российской Федерации, в частности без согласия субъекта его персональные данные могут быть переданы в суд, органам дознания и следствия, налоговым органам, пенсионный фонд, фонд социального страхования и фонд обязательного медицинского страхования, а также иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
5.9. Сроки обработки персональных данных должны ограничиваться достижением конкретных, заранее определённых и законных целей обработки, истечением срока действия согласия или отзывом субъектом его согласия на обработку персональных данных, когда их обработка допускается только с согласия субъекта , а также выявление неправомерной обработки персональных данных.
6. Порядок и сроки хранения персональных данных
6.1. Хранение персональных данных осуществляется на бумажных и электронных носителях с ограниченным к ним доступом.
6.2. Персональные данные , зафиксированные на бумажных носителях, хранятся в специально отведенных шкафах (сейфах), исключающих несанкционированный к ним доступ, либо в запираемых помещениях с ограниченным правом доступа.
6.3. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
6.4. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
6.5. Не допускается хранение и размещение документов, содержащих персональных данных , в открытых электронных каталогах (файлообменниках) в информационной системе персональных данных.
6.6. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
6.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
7. Порядок актуализации, блокирования и уничтожения персональных данных
7.1. В случае выявления недостоверных персональных данных или неправомерной обработки персональных данных при обращении или по запросу субъекта персональных данных , его представителя или уполномоченного органа по защите прав субъектов персональных данных (далее – уполномоченный орган) , Общество осуществляет блокирование персональных данных с момента такого обращения или запроса на период проверки .
7.2. В случае подтверждения факта неточности персональных данных Общество на основании сведений, представленных субъектом персональных данных, его представителем или уполномоченным органом, или иных документов, уточняет персональные данные в течение 7 (семи) рабочих дней со дня представления таких сведений и снимает блокирование персональных данных .
7.3. В случае подтверждения неправомерной обработки персональных данных Общество в срок, не превышающий 3 (трех) рабочих дней с даты такого выявления, прекращает неправомерную обработку. В случае если обеспечить правомерность обработки персональных данных невозможно, Общество в течение 10 (десяти) рабочих дней с даты выявления неправомерной обработки уничтожает такие персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Общество направляет уведомление субъекту персональных данных или его представителю и (или) в уполномоченный орган.
7.4. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку ( если их сохранение более не требуется для целей обработки ), персональные данные подлежат уничтожению, если:
7.4.1. иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
7.4.2. Общество не вправе осуществлять обработку без согласия субъекта персональных данных;
7.4.3. иное не предусмотрено иным соглашением между Обществом и субъектом персональных данных.
7.5. Персональные данные подлежат уничтожению в течение 30 (тридцати) дней с момента достижения цели их обработки или с даты поступления отзыва субъектом персональных данных согласия на их обработку.
7.6. Уничтожение персональных данных должно производиться способом, исключающим возможность восстановления персональных данных.
7.7. Уничтожение документов (носителей), содержащих персональные данные , производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
7.8. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
8. Меры, принимаемые Обществом, для обеспечения безопасности персональных данных
8.1. Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.2. Обществом в целях, указанных в пункте 8.1 настоящей Политики, принимаются следующие правовые, организационные и технические меры:
• назначение лица, ответственного за организацию обработки и обеспечение безопасности персональных данных; осуществление контроля указанным лицом соблюдения сотрудниками Общества условий настоящей Политики;
• определение перечня должностных лиц и работников Общества, имеющих доступ к персональных данным, установление ответственности за неисполнение требований и норм, регламентирующих обработку и защиту персональных данных;
• осуществление учета и хранения информационной системы и материальных носителей персональных данных таким образом, чтобы исключить хищение, подмену, несанкционированное копирование и (или) уничтожение информации и (или) материальных носителей;
• определение угроз безопасности персональных данных при их обработке в информационных системах, а также разработка системы защиты персональных данных на основе модели угроз;
• обеспечение технических мер в целях недопущения несанкционированного доступа к информационной системе, которая обеспечивает хранение персональных данных, в частности путем установления уровней доступа; установка сигнализации и водеонаблюдения;
• у становление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их должностными обязанностями;
• п рименение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;
• резервное копирование информации;
• иные необходимые правовые, организационные и технические меры.
9. Основные права субъекта персональных данных и обязанности Общества
9.1. Субъект персональных данных имеет право на получение следующих сведений:
9.2. Сведения по запросу должны быть предоставлены субъекту персональных данных в доступной форме и в них не должны содержаться персональные данные , относящиеся к другим субъектам персональных данных , за исключением случаев, если имеются законные основания для раскрытия таких персональных данных .
9.3. Субъект персональных данных имеет право на отзыв ранее данного согласия на обработку персональных данных , если иное не предусмотрено договором с субъектом персональных данных или Федеральным законом «О персональных данных».
9.4. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных , их блокирования или уничтожения в случае, если персональные данных являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.5. Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Общества в орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, сокращенное наименование Роскомнадзор, адрес в сети интернет: http://rkn.gov.ru/) или в судебном порядке.
9.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
9.7. Общество обязано:
10. Конфиденциальность персональных данных
10.1. Персональные данные работников, клиентов и контрагентов Общества являются конфиденциальной информацией и охраняются законом.
10.2. Должностные лица и работники Общества, осуществляющие обработку персональных данных, приняли обязательство о неразглашении персональных данных (Приложение № 3); предупреждены Обществом о возможной дисциплинарной, материальной, административной, гражданско-правовой и уголовной ответственности в случае нарушения требований законодательства Российской Федерации в области обработки и защиты персональных данных.
11. Заключительные положения
11.1. Настоящая Политика вступает в силу с момента ее утверждения приказом генерального директора Общества и подлежит доведению до сведения всех заинтересованных лиц путем ее размещения на официальном сайте Общества в сети Интернет по адресу: https://________________.ru/privacy-policy/, а также на информационном стенде по месту нахождения Общества, указанному в пункте 1.1 настоящего документа.
11.2. Политика после вступления в силу действует бессрочно и распространяется на персональные данные, полученные Обществом как до, так и после введения ее в действие.
11.3. Общество вправе в одностороннем порядке вносить изменения и (или) дополнения в Политику, которые вступают в силу и доводятся до сведения всех заинтересованных лиц способами, указанными в пункте 11.1 настоящего документа. При внесении изменений и (или) дополнений в заголовке Политики указывается дата последнего обновления редакции.
11.4. Пересмотр Политики осуществляется в следующих случаях:
• изменение целей и (или) состава обрабатываемых персональных данных;
• возникновение условий, существенно влияющих на процессы обработки персональных данных и нерегламентированных настоящим документом;
• по результатам контрольных мероприятий и проверок контролирующих органов, выявивших несоответствие требованиям по обеспечению безопасности персональных данных;
• при появлении новых требований к обеспечению безопасности персональных данных со стороны законодательства Российской Федерации и контролирующих органов;
• в иных случаях.
11.5. К отношениям между Обществом и субъектом персональных данных, возникающим в связи с применением Политики, подлежит применению действующее законодательство Российской Федерации.
11.6. В случае изменения законодательства в связи с чем Политика вступает в противоречие с соответствующими нормами закона, Политика вплоть до внесения в нее соответствующих изменений и (или) дополнений действует в части, непротиворечащей положениям действующего законодательства Российской Федерации.
ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения
1.1. Настоящая Политика в отношении обработки и защиты персональных данных (политика конфиденциальности) (далее – Политика) разработана и утверждена Обществом с ограниченной ответственностью «___________________», ОГРН __________________, ИНН/КПП ___________, адрес места нахождения: ______________________; адрес официального сайта в сети Интернет: __________________________________ (далее – Общество, Оператор персональных данных).
1.2. Настоящая Политика определяет принципы и цели обработки персональных данных; категории субъектов персональных данных и категории обрабатываемых персональных данных; порядок и сроки обработки и хранения персональных данных; порядок актуализации, блокирования и уничтожения персональных данных; меры, принимаемые Обществом, для обеспечения безопасности персональных данных ; о сновные права субъекта персональных данных и обязанности Общества.
1.3. Настоящая Политика разработана в соответствии со следующими нормативными правовыми актами и документами Общества:
• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»);
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена заместителем директора ФСТЭК России 15.02.2008;
• Локальные правовые акты Общества по вопросам обработки и защиты персональных данных.
2. Основные понятия, используемые в настоящей Политике
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор – юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных – совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Уровень защищенности персональных данных – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных .
Ответственный за организацию обработки персональных данных – должностное лицо оператора, ответственное за организацию обработки персональных данных.
3. Принципы и цели обработки персональных данных
3.1. При обработке персональных данных Общество основывается на следующих принципах:
3.1.1. обработка персональных данных должна осуществляться на законной и справедливой основе;
3.1.2. обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных , несовместимая с целями сбора персональных данных;
3.1.3. н е допускается объединение баз данных, содержащих персональных данные , обработка которых осуществляется в целях, несовместимых между собой;
3.1.4. обработке подлежат только персональные данные, которые отвечают целям их обработки;
3.1.5. содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки;
3.1.6. не допускается обработка персональных данных излишних по отношению к заявленным целям обработки;
3.1.7. п ри обработке персональных данных должны быть обеспечены точность персональных данных , их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных . Неполные или неточные персональные данные должны быть соответственно удалены или уточнены;
3.1.8. хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных , не дольше, чем этого требуют цели обработки персональных данных , если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
3.1.9. по достижении целей обработки или в случае утраты необходимости в достижении этих целей, персональные данные должны быть уничтожены или обезличены, если иное не предусмотрено Федеральным законом «О персональных данных».
3.2. Общество осуществляет о бработку персональных данных в целях:
3.2.1. осуществления своей уставной деятельности , деятельности в области отдыха и развлечений, деятельности танцплощадок, дискотек и школ танцев;
3.2.2. обеспечения выполнения требований трудового законодательства Российской Федерации и иных нормативных правовых актов в области регулирования трудовых отношений с работниками, бывшими работниками Общества, в том числе для целей отбора кандидатов на замещение вакантных должностей;
3.2.3. ведения кадровой работы и бухгалтерского учета;
3.2.4. заключения и исполнения гражданско-правового договора на оказание услуг и (или) выполнение работ;
3.2.5. обработки и получения платежей, а также возврата денежных средств;
3.2.6. организации доступа, учета и регистрации посетителей Общества;
3.2.7. установления обратной с вязи с субъектом персональных данных;
3.2.8. направления субъекту персональных данных рекламных и информационных сообщений, запросов и уведомлений об услугах и продуктах Общества;
3.2.9. обработки обращений и заявлений клиентов и контрагентов Общества;
3.2.10. проведения статистических, аналитических и иных исследований на основе обезличенных данных;
3.2.11. улучшения качества и продвижения на рынке оказываемых Обществом услуг;
3.2.12. выполнения иных требований, предусмотренных законодательством Российской Федерации , уставом и организационно-распорядительными документами Общества.
4. Категории субъектов персональных данных и категории обрабатываемых персональных данных
4.1. Общество осуществляет обработку персональных данных своих работников, клиентов и контрагентов – физических лиц, а также их представителей (законных представителей).
4.2. Общество осуществляет обработку следующих персональных данных в зависимости от субъекта персональных данных:
4.2.1. физические лица – работники Общества, состоящие в трудовых и гражданско-правовых отношениях, бывшие работники и кандидаты на замещение вакантных должностей:
• фамилия, имя и отчество;
• дата и место рождения;
• паспортные данные (серия, номер паспорта, кем и когда выдан);
• место регистрации и место жительства (если отличается от места регистрации);
• контактный номер телефона;
• контактный адрес электронной почты;
• страховой номер индивидуального лицевого счета;
• идентификационный номер налогоплательщика;
• основной государственный регистрационный номер индивидуального предпринимателя;
• данные банковской карты (применимо только для случаев перечисление заработной платы/ оплаты работы по гражданско-правовому договору на карту) ;
• и нформация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);
• информация о трудовой деятельности (место работы, должность, период работы, причины увольнения);
• семейное положение и состав семьи.
4.2.2. физические лица – клиенты и контрагенты Общества :
• фамилия, имя и отчество;
• дата и место рождения;
• паспортные данные (серия, номер паспорта, кем и когда выдан);
• место регистрации и место жительства (если отличается от места регистрации);
• контактный номер телефона;
• контактный адрес электронной почты;
• данные банковской карты (применимо только для случаев оплаты услуг Общества безналичным расчетом) .
4.2.3. физические лица – представители (законные представители) клиентов и контрагентов Общества :
• фамилия, имя и отчество;
• дата и место рождения;
• паспортные данные (серия, номер паспорта, кем и когда выдан);
• место регистрации и место жительства (если отличается от места регистрации);
• контактный номер телефона;
• контактный адрес электронной почты;
• данные банковской карты (применимо только для случаев оплаты услуг Общества безналичным расчетом) .
4.3. Общество не ведет сбор и обработку биометрических и специальных категорий персональных данных , в том числе информации о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни субъекта персональных данных .
5. Порядок и сроки обработки персональных данных
5.1. Обработка персональных данных осуществляется в соответствии с требованиями Федерального закона «О персональных данных», настоящей Политикой и локальными правовыми актами Общества по вопросам обработки и защиты персональных данных.
5 .2. Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных .
5 .3. Общество осуществляет обработку персональных данных с использованием и без использования средств автоматизации; с передачей по внутренней сети Общества и по сети Интернет.
5 .4. Общество самостоятельно осуществляет обработку персональных данных, свои функции по обработке персональных данных третьим лицам не передает.
5.5. Все персональные данные Общество получает непосредственно от субъекта персональных данных. Субъект самостоятельно принимает решение о предоставлении Обществу своих персональных данных, в подтверждение чего дает письменное согласие на их обработку (Приложение № 1).
5.6. Письменное согласие на обработку персональных данных не требуется, если обработка осуществляется:
5 .6.1. для заключения и (или) исполнения договора , стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
5 .6.2. в отношении общедоступных персональных данных (доступных для неограниченного круга лиц).
5.7. В случаях, когда Общество может получить необходимые персональные данные субъекта только у третьей стороны, субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении Общество обязано сообщить о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение. Согласие оформляется в письменной форме в двух экземплярах, один из которых предоставляется субъекту, второй хранится у Общества.
5 .8. Общество не предоставляет и не раскрывает третьим лицам информацию, содержащую персональные данные, без наличия соответствующего согласия субъекта персональных данных, за исключением случаев прямо предусмотренных законодательством Российской Федерации, в частности без согласия субъекта его персональные данные могут быть переданы в суд, органам дознания и следствия, налоговым органам, пенсионный фонд, фонд социального страхования и фонд обязательного медицинского страхования, а также иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
5.9. Сроки обработки персональных данных должны ограничиваться достижением конкретных, заранее определённых и законных целей обработки, истечением срока действия согласия или отзывом субъектом его согласия на обработку персональных данных, когда их обработка допускается только с согласия субъекта , а также выявление неправомерной обработки персональных данных.
6. Порядок и сроки хранения персональных данных
6.1. Хранение персональных данных осуществляется на бумажных и электронных носителях с ограниченным к ним доступом.
6.2. Персональные данные , зафиксированные на бумажных носителях, хранятся в специально отведенных шкафах (сейфах), исключающих несанкционированный к ним доступ, либо в запираемых помещениях с ограниченным правом доступа.
6.3. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
6.4. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
6.5. Не допускается хранение и размещение документов, содержащих персональных данных , в открытых электронных каталогах (файлообменниках) в информационной системе персональных данных.
6.6. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
6.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
7. Порядок актуализации, блокирования и уничтожения персональных данных
7.1. В случае выявления недостоверных персональных данных или неправомерной обработки персональных данных при обращении или по запросу субъекта персональных данных , его представителя или уполномоченного органа по защите прав субъектов персональных данных (далее – уполномоченный орган) , Общество осуществляет блокирование персональных данных с момента такого обращения или запроса на период проверки .
7.2. В случае подтверждения факта неточности персональных данных Общество на основании сведений, представленных субъектом персональных данных, его представителем или уполномоченным органом, или иных документов, уточняет персональные данные в течение 7 (семи) рабочих дней со дня представления таких сведений и снимает блокирование персональных данных .
7.3. В случае подтверждения неправомерной обработки персональных данных Общество в срок, не превышающий 3 (трех) рабочих дней с даты такого выявления, прекращает неправомерную обработку. В случае если обеспечить правомерность обработки персональных данных невозможно, Общество в течение 10 (десяти) рабочих дней с даты выявления неправомерной обработки уничтожает такие персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Общество направляет уведомление субъекту персональных данных или его представителю и (или) в уполномоченный орган.
7.4. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку ( если их сохранение более не требуется для целей обработки ), персональные данные подлежат уничтожению, если:
7.4.1. иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
7.4.2. Общество не вправе осуществлять обработку без согласия субъекта персональных данных;
7.4.3. иное не предусмотрено иным соглашением между Обществом и субъектом персональных данных.
7.5. Персональные данные подлежат уничтожению в течение 30 (тридцати) дней с момента достижения цели их обработки или с даты поступления отзыва субъектом персональных данных согласия на их обработку.
7.6. Уничтожение персональных данных должно производиться способом, исключающим возможность восстановления персональных данных.
7.7. Уничтожение документов (носителей), содержащих персональные данные , производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
7.8. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
8. Меры, принимаемые Обществом, для обеспечения безопасности персональных данных
8.1. Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.2. Обществом в целях, указанных в пункте 8.1 настоящей Политики, принимаются следующие правовые, организационные и технические меры:
• назначение лица, ответственного за организацию обработки и обеспечение безопасности персональных данных; осуществление контроля указанным лицом соблюдения сотрудниками Общества условий настоящей Политики;
• определение перечня должностных лиц и работников Общества, имеющих доступ к персональных данным, установление ответственности за неисполнение требований и норм, регламентирующих обработку и защиту персональных данных;
• осуществление учета и хранения информационной системы и материальных носителей персональных данных таким образом, чтобы исключить хищение, подмену, несанкционированное копирование и (или) уничтожение информации и (или) материальных носителей;
• определение угроз безопасности персональных данных при их обработке в информационных системах, а также разработка системы защиты персональных данных на основе модели угроз;
• обеспечение технических мер в целях недопущения несанкционированного доступа к информационной системе, которая обеспечивает хранение персональных данных, в частности путем установления уровней доступа; установка сигнализации и водеонаблюдения;
• у становление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их должностными обязанностями;
• п рименение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;
• резервное копирование информации;
• иные необходимые правовые, организационные и технические меры.
9. Основные права субъекта персональных данных и обязанности Общества
9.1. Субъект персональных данных имеет право на получение следующих сведений:
9.2. Сведения по запросу должны быть предоставлены субъекту персональных данных в доступной форме и в них не должны содержаться персональные данные , относящиеся к другим субъектам персональных данных , за исключением случаев, если имеются законные основания для раскрытия таких персональных данных .
9.3. Субъект персональных данных имеет право на отзыв ранее данного согласия на обработку персональных данных , если иное не предусмотрено договором с субъектом персональных данных или Федеральным законом «О персональных данных».
9.4. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных , их блокирования или уничтожения в случае, если персональные данных являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.5. Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Общества в орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, сокращенное наименование Роскомнадзор, адрес в сети интернет: http://rkn.gov.ru/) или в судебном порядке.
9.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
9.7. Общество обязано:
10. Конфиденциальность персональных данных
10.1. Персональные данные работников, клиентов и контрагентов Общества являются конфиденциальной информацией и охраняются законом.
10.2. Должностные лица и работники Общества, осуществляющие обработку персональных данных, приняли обязательство о неразглашении персональных данных (Приложение № 3); предупреждены Обществом о возможной дисциплинарной, материальной, административной, гражданско-правовой и уголовной ответственности в случае нарушения требований законодательства Российской Федерации в области обработки и защиты персональных данных.
11. Заключительные положения
11.1. Настоящая Политика вступает в силу с момента ее утверждения приказом генерального директора Общества и подлежит доведению до сведения всех заинтересованных лиц путем ее размещения на официальном сайте Общества в сети Интернет по адресу: https://________________.ru/privacy-policy/, а также на информационном стенде по месту нахождения Общества, указанному в пункте 1.1 настоящего документа.
11.2. Политика после вступления в силу действует бессрочно и распространяется на персональные данные, полученные Обществом как до, так и после введения ее в действие.
11.3. Общество вправе в одностороннем порядке вносить изменения и (или) дополнения в Политику, которые вступают в силу и доводятся до сведения всех заинтересованных лиц способами, указанными в пункте 11.1 настоящего документа. При внесении изменений и (или) дополнений в заголовке Политики указывается дата последнего обновления редакции.
11.4. Пересмотр Политики осуществляется в следующих случаях:
• изменение целей и (или) состава обрабатываемых персональных данных;
• возникновение условий, существенно влияющих на процессы обработки персональных данных и нерегламентированных настоящим документом;
• по результатам контрольных мероприятий и проверок контролирующих органов, выявивших несоответствие требованиям по обеспечению безопасности персональных данных;
• при появлении новых требований к обеспечению безопасности персональных данных со стороны законодательства Российской Федерации и контролирующих органов;
• в иных случаях.
11.5. К отношениям между Обществом и субъектом персональных данных, возникающим в связи с применением Политики, подлежит применению действующее законодательство Российской Федерации.
11.6. В случае изменения законодательства в связи с чем Политика вступает в противоречие с соответствующими нормами закона, Политика вплоть до внесения в нее соответствующих изменений и (или) дополнений действует в части, непротиворечащей положениям действующего законодательства Российской Федерации.
© 2024 Все права защищены. ООО "МВМ-Принт"