Правовая информация
1. Термины и определения
Федеральный закон (ФЗ) – Федеральный закон от 27 июля 2006 г. № 152 ФЗ «О персональных данных».
Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является общество с ограниченной ответственностью «Китагава» (ИНН 1435240169, ОГРН 1111435003943), расположенное по адресу: 677005, Республика Саха (Якутия), г. Якутск, ул. Курашова, д. 40.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2. Общие положения
2.1. Положение устанавливает обязательные для сотрудников Оператора, задействованных в обработке персональных данных, общие требования и правила по работе со всеми видами носителей информации, содержащими персональные данные физических лиц.
2.2. Цель Положения – обеспечение требований защиты прав и свобод человека и гражданина при обработке персональных данных;
2.3. Принципы обработки персональных данных: – обработке подлежат только персональные данные, которые отвечают целям их обработки; – содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
2.4. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Положением и законодательством РФ.
2.5. Цели обработки персональных данных:
• Обработка персональных данных необходима для достижения целей, предусмотренных действующим законодательством, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
• Обработка персональных данных необходима для исполнения договора, стороной которого, либо выгодоприобретателем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем; • Обработка персональных данных необходима для предложения оферты на заключение договора, предложения иных услуг, соответствующих уставным целям и задачам Оператора;
• Обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• Обработка персональных данных осуществляется в статистических или иных исследовательских целях;
• В иных случаях, предусмотренных действующим законодательством.
2.6. Источником информации о персональных данных является непосредственно сам субъект персональных данных, а также легитимные, открытые источники информации.
2.7. Обработка персональных данных осуществляется путем:
• получения персональных данных в устной и письменной форме непосредственно с согласия субъекта персональных данных на обработку его персональных данных;
• получения персональных данных из общедоступных источников;
• внесения персональных данных в информационные системы, используемые Оператором;
• использования иных способов обработки персональных данных.
2.8. Субъекты персональных данных:
– физические лица, являющиеся/являвшиеся стороной по сделке с Оператором;
- физические лица, не являющиеся стороной по сделке с Оператором, но являющиеся/являвшиеся выгодоприобретателем по указанной сделке;
– физические лица, состоящие с Оператором в иных гражданско-правовых отношениях (клиенты и контрагенты Оператора).
2.9. Оператор обеспечивает конфиденциальность и безопасность персональных данных при их обработке в соответствии с требованиями законодательства РФ.
3. Обработка персональных данных
3.1. Перечень обрабатываемых персональных данных Пользователей: – фамилия, имя, отчество; - пол; - дата рождения (число, месяц, год); - номер мобильной связи; - электронная почта.
3.2. Правом доступа к персональным данным субъектов обладают лица, наделенные соответствующими полномочиями в соответствии со своими служебными обязанностями.
3.3. Оператор может поручать обработку персональных данных сторонним лицам и организациям, при соблюдении действующего законодательства о персональных данных и их защите, при соблюдении требований конфиденциальности.
4. Система защиты персональных данных
4.1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
4.2. Меры принимаемые Оператором (в частности, но не ограничиваясь): – определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных; – применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных; – обнаружение фактов несанкционированного доступа к персональным данным и принятием мер; – контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных; - разработка локальных нормативных актов, определяющих порядок действий должностных лиц (работников) Оператора по обработке и защите персональных данных; - назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением организацией и его работниками требований к защите персональных данных.
4.3. Защищаемые сведения о субъекте персональных данных. К защищаемым сведениям о субъекте персональных данных относятся данные, позволяющие идентифицировать субъект персональных данных и/или получить о нем дополнительные сведения, предусмотренные законодательством и Политикой.
4.4. Защищаемые объекты персональных данных.
4.4.1. К защищаемым объектам персональных данных относятся:
– объекты информатизации и технические средства автоматизированной обработки информации, содержащей персональные данные и находящиеся в распоряжении Оператора;
– отчуждаемые носители информации на магнитной, магнитно-оптической и иной основе, применяемые для обработки персональных данных.
4.5. Требования к системе защиты персональных данных. Система защиты персональных данных должна соответствовать требованиям постановления Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
5. Хранение персональных данных.
5.1. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
5.2. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
5.3. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
5.4. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках).
5.5. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
5.6. Уничтожение персональных данных.
5.6.1. Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
5.6.2. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
5.6.3. Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей.
6. Ответственность.
6.1. Все сотрудники Оператора, осуществляющие обработку персональных данных, обязаны хранить тайну о сведениях, содержащих персональные данные, в соответствии с Положением, требованиями законодательства РФ.
7. Заключительные положения
7.1. В случае изменения действующего законодательства РФ, внесения изменений в нормативные документы по защите персональных данных настоящее Положение действует в части, не противоречащей действующему законодательству до приведения его в соответствие с такими.
7.2. Внесение изменений в настоящее Положение.
7.2.1. Оператор имеет право вносить изменения в настоящее Положение. Новая редакция Положения вступает в силу с момента его размещения на сайте, если иное не предусмотрено новой редакцией Положения или иным локальным актом Оператора.
7.3. Условия настоящего Положения устанавливаются, изменяются и отменяются Оператором в одностороннем порядке без предварительного уведомления Пользователя. С момента размещения на Сайте новой редакции Положения предыдущая редакция считается утратившей свою силу.
Федеральный закон (ФЗ) – Федеральный закон от 27 июля 2006 г. № 152 ФЗ «О персональных данных».
Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является общество с ограниченной ответственностью «Китагава» (ИНН 1435240169, ОГРН 1111435003943), расположенное по адресу: 677005, Республика Саха (Якутия), г. Якутск, ул. Курашова, д. 40.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2. Общие положения
2.1. Положение устанавливает обязательные для сотрудников Оператора, задействованных в обработке персональных данных, общие требования и правила по работе со всеми видами носителей информации, содержащими персональные данные физических лиц.
2.2. Цель Положения – обеспечение требований защиты прав и свобод человека и гражданина при обработке персональных данных;
2.3. Принципы обработки персональных данных: – обработке подлежат только персональные данные, которые отвечают целям их обработки; – содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
2.4. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Положением и законодательством РФ.
2.5. Цели обработки персональных данных:
• Обработка персональных данных необходима для достижения целей, предусмотренных действующим законодательством, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
• Обработка персональных данных необходима для исполнения договора, стороной которого, либо выгодоприобретателем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем; • Обработка персональных данных необходима для предложения оферты на заключение договора, предложения иных услуг, соответствующих уставным целям и задачам Оператора;
• Обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• Обработка персональных данных осуществляется в статистических или иных исследовательских целях;
• В иных случаях, предусмотренных действующим законодательством.
2.6. Источником информации о персональных данных является непосредственно сам субъект персональных данных, а также легитимные, открытые источники информации.
2.7. Обработка персональных данных осуществляется путем:
• получения персональных данных в устной и письменной форме непосредственно с согласия субъекта персональных данных на обработку его персональных данных;
• получения персональных данных из общедоступных источников;
• внесения персональных данных в информационные системы, используемые Оператором;
• использования иных способов обработки персональных данных.
2.8. Субъекты персональных данных:
– физические лица, являющиеся/являвшиеся стороной по сделке с Оператором;
- физические лица, не являющиеся стороной по сделке с Оператором, но являющиеся/являвшиеся выгодоприобретателем по указанной сделке;
– физические лица, состоящие с Оператором в иных гражданско-правовых отношениях (клиенты и контрагенты Оператора).
2.9. Оператор обеспечивает конфиденциальность и безопасность персональных данных при их обработке в соответствии с требованиями законодательства РФ.
3. Обработка персональных данных
3.1. Перечень обрабатываемых персональных данных Пользователей: – фамилия, имя, отчество; - пол; - дата рождения (число, месяц, год); - номер мобильной связи; - электронная почта.
3.2. Правом доступа к персональным данным субъектов обладают лица, наделенные соответствующими полномочиями в соответствии со своими служебными обязанностями.
3.3. Оператор может поручать обработку персональных данных сторонним лицам и организациям, при соблюдении действующего законодательства о персональных данных и их защите, при соблюдении требований конфиденциальности.
4. Система защиты персональных данных
4.1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
4.2. Меры принимаемые Оператором (в частности, но не ограничиваясь): – определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных; – применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных; – обнаружение фактов несанкционированного доступа к персональным данным и принятием мер; – контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных; - разработка локальных нормативных актов, определяющих порядок действий должностных лиц (работников) Оператора по обработке и защите персональных данных; - назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением организацией и его работниками требований к защите персональных данных.
4.3. Защищаемые сведения о субъекте персональных данных. К защищаемым сведениям о субъекте персональных данных относятся данные, позволяющие идентифицировать субъект персональных данных и/или получить о нем дополнительные сведения, предусмотренные законодательством и Политикой.
4.4. Защищаемые объекты персональных данных.
4.4.1. К защищаемым объектам персональных данных относятся:
– объекты информатизации и технические средства автоматизированной обработки информации, содержащей персональные данные и находящиеся в распоряжении Оператора;
– отчуждаемые носители информации на магнитной, магнитно-оптической и иной основе, применяемые для обработки персональных данных.
4.5. Требования к системе защиты персональных данных. Система защиты персональных данных должна соответствовать требованиям постановления Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
5. Хранение персональных данных.
5.1. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
5.2. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
5.3. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
5.4. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках).
5.5. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
5.6. Уничтожение персональных данных.
5.6.1. Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
5.6.2. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
5.6.3. Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей.
6. Ответственность.
6.1. Все сотрудники Оператора, осуществляющие обработку персональных данных, обязаны хранить тайну о сведениях, содержащих персональные данные, в соответствии с Положением, требованиями законодательства РФ.
7. Заключительные положения
7.1. В случае изменения действующего законодательства РФ, внесения изменений в нормативные документы по защите персональных данных настоящее Положение действует в части, не противоречащей действующему законодательству до приведения его в соответствие с такими.
7.2. Внесение изменений в настоящее Положение.
7.2.1. Оператор имеет право вносить изменения в настоящее Положение. Новая редакция Положения вступает в силу с момента его размещения на сайте, если иное не предусмотрено новой редакцией Положения или иным локальным актом Оператора.
7.3. Условия настоящего Положения устанавливаются, изменяются и отменяются Оператором в одностороннем порядке без предварительного уведомления Пользователя. С момента размещения на Сайте новой редакции Положения предыдущая редакция считается утратившей свою силу.
1. Общие положения
1.1. Правовые основания обработки персональных данных:
Правовым основанием обработки персональных данных являются федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора; Устав Оператора; соглашения и сделки, заключаемые между Оператором и субъектом персональных данных; согласие на обработку персональных данных.
1.2. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Закона о персональных данных.
1.3. Изменение Политики
1.3.1. Оператор имеет право вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.
2. Термины и принятые сокращения
Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор персональных данных (оператор) –юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
• сбор;
• запись;
• систематизацию;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передачу (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку, информационных технологий и технических средств.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3. Порядок и условия обработки и хранение персональных данных
3.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
3.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
3.3. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
3.4. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
3.5. Обработка персональных данных осуществляется путем:
• получения персональных данных в устной и письменной форме непосредственно с согласия субъекта персональных данных на обработку его персональных данных;
• получения персональных данных из общедоступных источников;
• внесения персональных данных в информационные системы, используемые Оператором;
• использования иных способов обработки персональных данных.
3.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3.7. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
3.8. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
• определяет угрозы безопасности персональных данных при их обработке;
• принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
• назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
• создает необходимые условия для работы с персональными данными;
• организует учет документов, содержащих персональные данные;
• организует работу с информационными системами, в которых обрабатываются персональные данные;
• хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним; • организует обучение работников Оператора, осуществляющих обработку персональных данных.
3.9. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
3.10. При сборе персональных данных, в том числе посредством информационнотелекоммуникационной сети интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
3.11. Цели обработки персональных данных:
3.11.1. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.11.2. Обработка Оператором персональных данных осуществляется в следующих целях:
• Обработка персональных данных необходима для достижения целей, предусмотренных действующим законодательством, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
• Обработка персональных данных необходима для исполнения договора, стороной которого, либо выгодоприобретателем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем;
• Обработка персональных данных необходима для предложения оферты на заключение договора, предложения иных услуг, соответствующих уставным целям и задачам Оператора;
• Обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• Обработка персональных данных осуществляется в статистических или иных исследовательских целях;
• В иных случаях, предусмотренных действующим законодательством.
3.12. Категории субъектов персональных данных. Обрабатываются ПД следующих субъектов ПД:
– физические лица, являющиеся/являвшиеся стороной по сделке с Оператором;
- физические лица, не являющиеся стороной по сделке с Оператором, но являющиеся/являвшиеся выгодоприобретателем по указанной сделке;
– физические лица, состоящие с Оператором в иных гражданско-правовых отношениях (клиенты и контрагенты Оператора).
3.13. ПД, обрабатываемые Оператором:
– фамилия, имя, отчество;
- пол;
- дата рождения (число, месяц, год);
- номер мобильной связи;
- электронная почта
3.14. Хранение ПД.
3.14.1. ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
3.14.2. ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
3.14.3. ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
3.14.4. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках).
3.14.5. Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
3.15. Уничтожение ПД.
3.15.1. Уничтожение документов (носителей), содержащих ПД, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
3.15.2. ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.
3.15.3. Факт уничтожения ПД подтверждается документально актом об уничтожении носителей.
4. Защита персональных данных
4.1. Меры по обеспечению безопасности персональных данных при их обработке.
4.1.1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
4.1.2. Обеспечение безопасности персональных данных достигается, в частности: – определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных; – применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных; – обнаружением фактов несанкционированного доступа к персональным данным и принятием мер; – контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
4.1.3. Для целей Политики под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.
4.2. Защищаемые сведения о субъекте персональных данных. К защищаемым сведениям о субъекте персональных данных относятся данные, позволяющие идентифицировать субъект персональных данных и/или получить о нем дополнительные сведения, предусмотренные законодательством и Политикой.
4.3. Защищаемые объекты персональных данных.
4.3.1. К защищаемым объектам персональных данных относятся: – объекты информатизации и технические средства автоматизированной обработки информации, содержащей персональные данные и находящиеся в распоряжении Оператора; – отчуждаемые носители информации на магнитной, магнитно-оптической и иной основе, применяемые для обработки персональных данных.
4.4. Требования к системе защиты персональных данных. Система защиты персональных данных должна соответствовать требованиям постановления Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
4.4.1. Система защиты персональных данных должна обеспечивать: – своевременное обнаружение и предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации; – недопущение воздействия на технические средства автоматизированной обработки персональных данных, имеющиеся в распоряжении Оператора, в результате которого может быть нарушено их функционирование; – постоянный контроль за обеспечением уровня защищенности персональных данных.
4.5. Методы и способы защиты информации в информационных системах персональных данных.
4.5.1. Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПД.
4.5.2. Определение актуальных угроз безопасности ПД при их обработке и разработка мер и мероприятий по защите ПД.
4.5.3. Разработка политики в отношении обработки персональных данных.
4.5.4. Установление правил доступа к ПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД.
4.5.5. Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ.
4.5.6. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
4.6. Персональные данные не могут быть использованы в целях, противоречащих требованиям Федерального закона, защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
4.7. Ответственность.
4.7.1. Все сотрудники Оператора, осуществляющие обработку персональных данных, обязаны хранить тайну о сведениях, содержащих персональные данные, в соответствии с Политикой, требованиями законодательства РФ.
4.7.2. Лица, виновные в нарушении требований Политики, несут предусмотренную законодательством РФ ответственность.
5. Заключительные положения
5.1. В случае изменения действующего законодательства РФ, внесения изменений в нормативные документы по защите персональных данных настоящая Политика действует в части, не противоречащей действующему законодательству до приведения его в соответствие с такими.
5.2. Условия настоящей Политики устанавливаются, изменяются и отменяются Оператором в одностороннем порядке без предварительного уведомления Пользователя. С момента размещения на Сайте новой редакции Политики предыдущая редакция считается утратившей свою силу.
5.3. Если Пользователь не согласен с условиями настоящей Политики, то он должен немедленно уведомить об этом Оператора, в противном случае считается, что Пользователь согласен с условиями настоящей Политики.
1.1. Правовые основания обработки персональных данных:
Правовым основанием обработки персональных данных являются федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора; Устав Оператора; соглашения и сделки, заключаемые между Оператором и субъектом персональных данных; согласие на обработку персональных данных.
1.2. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Закона о персональных данных.
1.3. Изменение Политики
1.3.1. Оператор имеет право вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.
2. Термины и принятые сокращения
Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор персональных данных (оператор) –юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
• сбор;
• запись;
• систематизацию;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передачу (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку, информационных технологий и технических средств.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3. Порядок и условия обработки и хранение персональных данных
3.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
3.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
3.3. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
3.4. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
3.5. Обработка персональных данных осуществляется путем:
• получения персональных данных в устной и письменной форме непосредственно с согласия субъекта персональных данных на обработку его персональных данных;
• получения персональных данных из общедоступных источников;
• внесения персональных данных в информационные системы, используемые Оператором;
• использования иных способов обработки персональных данных.
3.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3.7. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
3.8. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
• определяет угрозы безопасности персональных данных при их обработке;
• принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
• назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
• создает необходимые условия для работы с персональными данными;
• организует учет документов, содержащих персональные данные;
• организует работу с информационными системами, в которых обрабатываются персональные данные;
• хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним; • организует обучение работников Оператора, осуществляющих обработку персональных данных.
3.9. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
3.10. При сборе персональных данных, в том числе посредством информационнотелекоммуникационной сети интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
3.11. Цели обработки персональных данных:
3.11.1. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.11.2. Обработка Оператором персональных данных осуществляется в следующих целях:
• Обработка персональных данных необходима для достижения целей, предусмотренных действующим законодательством, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
• Обработка персональных данных необходима для исполнения договора, стороной которого, либо выгодоприобретателем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем;
• Обработка персональных данных необходима для предложения оферты на заключение договора, предложения иных услуг, соответствующих уставным целям и задачам Оператора;
• Обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• Обработка персональных данных осуществляется в статистических или иных исследовательских целях;
• В иных случаях, предусмотренных действующим законодательством.
3.12. Категории субъектов персональных данных. Обрабатываются ПД следующих субъектов ПД:
– физические лица, являющиеся/являвшиеся стороной по сделке с Оператором;
- физические лица, не являющиеся стороной по сделке с Оператором, но являющиеся/являвшиеся выгодоприобретателем по указанной сделке;
– физические лица, состоящие с Оператором в иных гражданско-правовых отношениях (клиенты и контрагенты Оператора).
3.13. ПД, обрабатываемые Оператором:
– фамилия, имя, отчество;
- пол;
- дата рождения (число, месяц, год);
- номер мобильной связи;
- электронная почта
3.14. Хранение ПД.
3.14.1. ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
3.14.2. ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
3.14.3. ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
3.14.4. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках).
3.14.5. Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
3.15. Уничтожение ПД.
3.15.1. Уничтожение документов (носителей), содержащих ПД, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
3.15.2. ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.
3.15.3. Факт уничтожения ПД подтверждается документально актом об уничтожении носителей.
4. Защита персональных данных
4.1. Меры по обеспечению безопасности персональных данных при их обработке.
4.1.1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
4.1.2. Обеспечение безопасности персональных данных достигается, в частности: – определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных; – применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных; – обнаружением фактов несанкционированного доступа к персональным данным и принятием мер; – контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
4.1.3. Для целей Политики под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.
4.2. Защищаемые сведения о субъекте персональных данных. К защищаемым сведениям о субъекте персональных данных относятся данные, позволяющие идентифицировать субъект персональных данных и/или получить о нем дополнительные сведения, предусмотренные законодательством и Политикой.
4.3. Защищаемые объекты персональных данных.
4.3.1. К защищаемым объектам персональных данных относятся: – объекты информатизации и технические средства автоматизированной обработки информации, содержащей персональные данные и находящиеся в распоряжении Оператора; – отчуждаемые носители информации на магнитной, магнитно-оптической и иной основе, применяемые для обработки персональных данных.
4.4. Требования к системе защиты персональных данных. Система защиты персональных данных должна соответствовать требованиям постановления Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
4.4.1. Система защиты персональных данных должна обеспечивать: – своевременное обнаружение и предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации; – недопущение воздействия на технические средства автоматизированной обработки персональных данных, имеющиеся в распоряжении Оператора, в результате которого может быть нарушено их функционирование; – постоянный контроль за обеспечением уровня защищенности персональных данных.
4.5. Методы и способы защиты информации в информационных системах персональных данных.
4.5.1. Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПД.
4.5.2. Определение актуальных угроз безопасности ПД при их обработке и разработка мер и мероприятий по защите ПД.
4.5.3. Разработка политики в отношении обработки персональных данных.
4.5.4. Установление правил доступа к ПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД.
4.5.5. Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ.
4.5.6. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
4.6. Персональные данные не могут быть использованы в целях, противоречащих требованиям Федерального закона, защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
4.7. Ответственность.
4.7.1. Все сотрудники Оператора, осуществляющие обработку персональных данных, обязаны хранить тайну о сведениях, содержащих персональные данные, в соответствии с Политикой, требованиями законодательства РФ.
4.7.2. Лица, виновные в нарушении требований Политики, несут предусмотренную законодательством РФ ответственность.
5. Заключительные положения
5.1. В случае изменения действующего законодательства РФ, внесения изменений в нормативные документы по защите персональных данных настоящая Политика действует в части, не противоречащей действующему законодательству до приведения его в соответствие с такими.
5.2. Условия настоящей Политики устанавливаются, изменяются и отменяются Оператором в одностороннем порядке без предварительного уведомления Пользователя. С момента размещения на Сайте новой редакции Политики предыдущая редакция считается утратившей свою силу.
5.3. Если Пользователь не согласен с условиями настоящей Политики, то он должен немедленно уведомить об этом Оператора, в противном случае считается, что Пользователь согласен с условиями настоящей Политики.