Политика в отношении обработки персональных данных

  1. Введение

1.1. Настоящий документ определяет политику в ООО «Гранд» (далее – Общество) в отношении обработки персональных данных (далее – ПД).

1.2. Общество является оператором ПД в соответствии с законодательством Российской Федерации о ПД.

1.3. Настоящая Политика разработана в соответствии с Федеральным законом Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее 152-ФЗ, ФЗ «О персональных данных»), устанавливающий основные принципы и условия обработки ПД, права, обязанности и ответственность участников отношений, связанных с обработкой ПД, а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки ПД.

1.4. Действие настоящей Политики распространяется на любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.

1.5. Настоящая Политика подлежит пересмотру и, при необходимости, актуализации в случае изменений в законодательстве Российской Федерации о ПД.

 

  1. Принципы обработки ПД

Обработка ПД осуществляется на основе следующих принципов:

1) обработка ПД осуществляется на законной и справедливой основе;

2) обработка ПД ограничивается достижением конкретных, заранее определённых и законных целей;

3) обработка ПД, несовместимая с целями сбора ПД, не допускается;

4) не допускается объединение баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой;

5) содержание и объём обрабатываемых ПД соответствуют заявленным целям обработки. Обрабатываемые ПД не являются избыточными по отношению к заявленным целям обработки;

6) при обработке ПД обеспечивается точность ПД и их достаточность, в случаях необходимости и актуальность ПД по отношению к заявленным целям их обработки;

7) хранение ПД осуществляется в форме, позволяющей определить субъекта ПД не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД;

8) обрабатываемые ПД подлежат уничтожению или обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

 

  1. Условия обработки ПД

3.1. Обработка ПД осуществляется с соблюдением принципов и правил, установленных ФЗ «О персональных данных». Обработка ПД осуществляется в следующих случаях:

1) обработка ПД осуществляется с согласия субъекта ПД на обработку его ПД;

2) обработка ПД необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет являться выгодоприобретателем или поручителем;

4) обработка ПД необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия субъекта ПД невозможно;

5) обработка ПД необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПД;

6) обработка ПД осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПД. Исключение составляет обработка ПД в целях продвижения товаров, работ, услуг на рынке путём осуществления прямых контактов с потенциальным потребителем с помощью средств связи;

7) осуществляется обработка ПД, доступ неограниченного круга лиц, к которым предоставлен субъектом ПД либо по его просьбе.

3.2. Общество может включать ПД субъектов в общедоступные источники ПД, при этом Общество берёт письменное согласие субъекта на обработку его ПД.

3.3. Принятие на основании исключительно автоматизированной обработки ПД решений, порождающих юридические последствия в отношении субъекта ПД или иным образом затрагивающих его права и законные интересы, не осуществляется.

3.4. Общество может осуществлять обработку ПД по поручению оператора на основании заключённого договора между Обществом и оператором.

3.5. При отсутствии необходимости письменного согласия субъекта на обработку его ПД согласие субъекта может быть дано субъектом ПД или его представителем в любой позволяющей получить факт его получения форме.

3.6. При поручении обработки ПД другому лицу Общество заключает договор (далее — поручение оператора) с этим лицом и получает согласие субъекта ПД, если иное не предусмотрено федеральным законом. При этом Общество в поручении оператора обязует лицо, осуществляющее обработку ПД по поручению Общества, соблюдать принципы и правила обработки ПД, предусмотренные ФЗ «О персональных данных».

3.7. В случаях, когда Общество поручает обработку ПД другому лицу, ответственность перед субъектом ПД за действия указанного лица несёт Общество. Лицо, осуществляющее обработку ПД по поручению Общества, несёт ответственность перед Обществом.

3.8. Общество обязуется и обязует иные лица, получившие доступ к ПД, не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено федеральным законом.

 

  1. Обязанности Общества

В соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» Общество обязано:

1) предоставлять субъекту ПД по его запросу информацию, касающуюся обработки его ПД, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса субъекта ПД или его представителя;

2) по требованию субъекта ПД уточнять, блокировать или удалять обрабатываемые ПД, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки в срок, не превышающий семи рабочих дней со дня предоставления субъектом ПД или его представителем сведений, подтверждающих эти факты;

3) вести Журнал учёта обращений субъектов ПД, в котором должны фиксироваться запросы субъектов ПД на получение ПД, а также факты предоставления ПД по этим запросам;

4) уведомлять субъекта ПД об обработке ПД в том случае, если ПД были получены не от субъекта ПД. Исключение составляют следующие случаи:

— субъект ПД уведомлён об осуществлении обработки Обществом его ПД;

— ПД получены Обществом в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД или на основании федерального закона;

— ПД сделаны общедоступными субъектом ПД или получены из общедоступного источника;

— Общество осуществляет обработку ПД для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта ПД;

— предоставление субъекту ПД сведений, содержащихся в Уведомлении об обработке ПД, нарушает права и законные интересы третьих лиц;

5) в случае достижения цели обработки ПД незамедлительно прекратить обработку ПД и уничтожить соответствующие ПД в срок, не превышающий тридцати дней с даты достижения цели обработки ПД, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, иным соглашением между Обществом и субъектом ПД либо если Общество не вправе осуществлять обработку ПД без согласия субъекта ПД на основаниях, предусмотренных № 152-ФЗ «О персональных данных» или другими федеральными законами;

6) в случае отзыва субъектом ПД согласия на обработку своих ПД прекратить обработку ПД и уничтожить ПД в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Обществом и субъектом ПД. Об уничтожении ПД Общество обязано уведомить субъекта ПД;

7) в случае поступления требования субъекта ПД о прекращении обработки ПД, полученных в целях продвижения товаров, работ, услуг на рынке, немедленно прекратить обработку ПД.

 

  1. Меры по обеспечению безопасности ПД при их обработке

5.1. При обработке ПД Общество применяет необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД.

5.2. Обеспечение безопасности ПД достигается следующими мерами:

1) определение угроз безопасности ПД при их обработке в информационных системах ПД;

2) применение организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах ПД, необходимых для выполнения требований к защите ПД, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищённости ПД;

3) применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

4) оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы ПД;

5) учёт машинных носителей ПД;

6) обнаружение фактов несанкционированного доступа к ПД и принятие мер;

7) восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установление правил доступа к ПД, обрабатываемым в информационной системе ПД, а также обеспечение регистрации и учёта всех действий, совершаемых с ПД в информационной системе ПД;

9) контроль за принимаемыми мерами по обеспечению безопасности ПД и уровня защищённости информационных систем ПД.

 

  1. Права субъекта ПД

В соответствии с ФЗ «О персональных данных» субъект ПД имеет право:

1) получить сведения, касающиеся обработки ПД Обществом, а именно:

— подтверждение факта обработки ПД Обществом;

— правовые основания и цели обработки ПД Обществом;

— применяемые Обществом способы обработки ПД;

— наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с оператором или на основании федерального закона;

— обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

— сроки обработки ПД Обществом, в том числе сроки их хранения;

— порядок осуществления субъектом ПД прав, предусмотренных ФЗ «О персональных данных»;

— информацию об осуществлённой или предполагаемой трансграничной передаче данных;

— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Общества, если обработка поручена или будет поручена такому лицу;

— иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами;

2) потребовать от Общества уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

3) отозвать согласие на обработку ПД в предусмотренных законом случаях.

 

  1. Порядок осуществления прав

7.1. Обращение (запрос) субъекта ПД к оператору в целях реализации его прав, установленных ФЗ «О персональных данных», осуществляется в письменном виде. Запрос может быть подан или направлен субъектом ПД или его представителем. Запрос в соответствии со ст. 14 ФЗ «О персональных данных» должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

7.2. В случае личного визита, форма обращения (запроса) выдаётся субъекту ПД или его представителю работником Общества и заполняется субъектом ПД или его представителем с проставлением собственноручной подписи в присутствии указанного работника.

7.3. Работник Общества, получив обращение по установленной форме, сверяет указанные в нем сведения об основном документе, удостоверяющем личность субъекта ПД, основания, по которым лицо выступает в качестве представителя субъекта ПД, и представленные при обращении оригиналы данного документа.

7.4. Ответ на обращение отправляется субъекту ПД в письменном виде по почте на адрес, указанный в обращении.

7.5. Срок формирования ответа и передачи в почтовое отделение для отправки не может превышать тридцати дней с даты получения оператором обращения.

7.6. Срок внесения необходимых изменений в ПД, являющиеся неполными, неточными или неактуальными, не может превышать семи рабочих дней со дня предоставления субъектом ПД или его представителем сведений, подтверждающих, что ПД являются неполными, неточными или неактуальными.

7.7. Срок уничтожения ПД, являющихся незаконно полученными или не являющихся необходимыми для заявленной цели обработки, не может превышать семи рабочих дней со дня предоставления субъектом ПД или его представителем сведений, подтверждающих, что ПД являются незаконно полученными или не являются необходимыми для заявленной цели обработки.

 

  1. Ограничения прав субъектов ПД

8.1. Право субъекта ПД на доступ к своим ПД ограничивается в случае и порядке, предусмотренных ФЗ «О персональных данных».

8.2. В случае если сведения, касающиеся обработки ПД, а также обрабатываемые ПД были предоставлены для ознакомления субъекту ПД по его запросу, субъект ПД вправе направить повторный запрос в целях получения сведений, касающихся обработки ПД, и ознакомления с такими ПД не ранее чем через тридцать дней после направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД.

8.3. Субъект ПД вправе направить Обществу повторный запрос в целях получения сведений, касающихся обработки ПД, а также в целях ознакомления с обрабатываемыми ПД до истечения срока, указанного в п. 8.2 в случае, если такие сведения и (или) обрабатываемые ПД не были предоставлены ему для ознакомления в полном объёме по результатам рассмотрения первоначального запроса. Повторный запрос должен содержать обоснование направления повторного запроса.

8.4. Общество вправе отказать субъекту ПД в выполнении повторного запроса в случаях, предусмотренных ФЗ «О персональных данных».