Политика ООО «Сервис-ТЦ 2» в отношении обработки персональных данных

Общие положения

Настоящая Политика оператора в отношении обработки персональных данных (далее-Политика) разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ РФ «О персональных данных» и является основополагающим внутренним регулятивным документом ООО «Сервис-ТЦ 2» (ИНН 4205088652) (далее по тексту-Оператор), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных.

Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных Оператором.

Основные понятия

  • Персональные данные: любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
  • Оператор: государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
  • Обработка персональных данных: любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
  • Автоматизированная обработка персональных данных: обработка персональных данных с помощью средств вычислительной техники.
  • Распространение персональных данных: действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
  • Предоставление персональных данных: действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
  • Блокирование персональных данных: временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных.
  • Уничтожение персональных данных: действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
  • Обезличивание персональных данных: действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
  • Информационная система персональных данных: совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Правовое основание обработки персональных данных

Обработка персональных данных осуществляется Оператором в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ РФ «О персональных данных» и принятых в соответствии с ним иных нормативных правовых актов, регулирующих вопросы обработки и защиты персональных данных. При обработке персональных данных Оператор придерживается принципов, установленных законодательством РФ в области персональных данных.

Цели обработки персональных данных

Оператор осуществляет обработку персональных данных в следующих целях:

  • Обеспечение выполнения работ и предоставления услуг, определенных Уставом Оператора.
  • Выполнение договорных обязательств Оператора перед контрагентами.
  • Ведение кадрового учета работников.
  • Ведение бухгалтерского учета.
  • Выполнение требований федеральных законов.
  • Иных целей, определенных в договоре, подписанных контрагентом.

Для достижения перечисленных целей Оператор прибегает к обработке персональных данных следующих субъектов:

  • Физические лица, состоящие в договорных и иных гражданско-правовых отношениях с Оператором;
  • Работники.

Принципы обработки персональных данных

Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в части 1 статьи 5 Федерального закона №152-ФЗ «О персональных данных».

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных.

Обработке подлежат только персональные данные, которые отвечают целям их обработки.

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

Хранение персональных данных Оператором осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Персональные данные уничтожаются по достижении целей обработки или в случае утраты необходимости в их достижении.

Способы обработки персональных данных

Обработка персональных данных производится в смешанном режиме (автоматизированная и неавтоматизированная обработка), с передачей по сети Интернет.

Условия обработки персональных данных

Получение и обработка персональных данных в случаях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ РФ «О персональных данных», осуществляется с письменного согласия субъекта персональных данных или при наличии иных оснований, установленных частью 1 статьи 6 Федерального закона «О персональных данных». Равнозначным содержащему собственноручную подпись субъекта персональных данных согласно в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного простой или усиленной квалифицированной электронной подписью, в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи» и/или соглашением с физическим лицом.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.

Обработка сведений о состоянии здоровья осуществляется в соответствии с Трудовым кодексом, Федеральным законом «Об обязательном медицинском страховании в РФ», а так же п. 2.3 и п. 8 ч. 2 ст. 10 Федерального закона «О персональных данных».

Право доступа к персональным данным субъектов персональных данных на бумажных и электронных носителях имеют только специально уполномоченные работники Оператора в пределах, установленных их должностными обязательствами.

Передача персональных данных субъектов персональных данных третьим лицам осуществляется в соответствии с требованиями действующего законодательства.

Оператор вправе поручить обработку персональных данных третьей стороне с согласия субъекта персональных данных и в иных случаях, предусмотренных действующим законодательством Российской Федерации, на основании заключаемого с этой стороной договора или соглашения (далее –поручение). Третья сторона, осуществляющая обработку персональных данных по поручению Оператора, обязана соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ РФ «О персональных данных», обеспечивая конфиденциальность и безопасность персональных данных при их обработке.

Конфиденциальность

Оператор не раскрывает персональные данные третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом № 152-ФЗ.

Права субъектов персональных данных и способ их реализации

В соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ РФ «О персональных данных» субъект персональных данных имеет следующие права в отношении своих персональных данных:

  • право на получение сведений, касающихся обработки персональных данных Оператором, за исключением случаев, описанных в части 8 статьи 14 ФЗ № 152-ФЗ: подтверждение факта обработки персональных данных Оператором; правовые основания и цели обработки персональных данных; применяемые Оператором способы обработки персональных данных; наименование и место нахождения Оператора, сведения о лицах за исключением работников Оператора, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона; обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ РФ «О персональных данных»; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу.
  • право на ознакомление с персональными данными, принадлежащими субъекту персональных данных, обрабатываемыми Оператором.
  • право требования от Оператора уточнения его персональных данных, их блокирования или уничтожения, в случае, если персональные данные являются неполными, устаревшими (неактуальными), неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
  • право на отзыв согласия на обработку персональных данных ( если такое согласие было дано Оператору).

Субъект персональных данных может реализовывать свои права на получение сведений, касающихся обработки его персональных данных Оператором, и на ознакомление с персональными данными, принадлежащими субъекту, обрабатываемыми Оператором, путем обращения лично или через законного представителя либо путем направления письменного запроса по адресу местонахождения Оператора.

В соответствии с частью 3 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ РФ «О персональных данных» запрос субъекта персональных данных (или его представителя) должен содержать: номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе; сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором; подпись субъекта персональных данных или его представителя.

Оператор обязуется безвозмездно предоставить запрашиваемые требования субъекту персональных данных или его представителю в доступной форме в течение 30 дней с даты обращения или даты получения запроса субъекта персональных данных или его представителя либо дать в письменной форме мотивированный ответ, содержащий ссылку на положения федерального закона (законов), являющиеся основанием для отказа в предоставлении информации.

В случае если необходимые сведения были предоставлены субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения данных сведений не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные, обрабатываемые Оператором, являются неполными, неточными или неактуальными, Оператор обязуется внести в них необходимые изменения.

В срок не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные, обрабатываемые Оператором, являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязуется уничтожить такие персональные данные.

Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

Субъект персональных данных имеет право на отзыв согласия на обработку персональных данных (в случае, если такое согласие было дано Оператору).

В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки, и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

В случае невозможности уничтожения персональных данных в течение указанного срока, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование и уничтожение в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона РФ от 27.07.2006 № 152-ФЗ РФ «О персональных данных» и или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Меры (требования) по обеспечению безопасности персональных данных при их обработке

Оператор осуществляет обработку персональных данных как с использованием средств вычислительной техники (в том числе, в информационных системах), так и без использования технических средств.

В целях предотвращения нарушений законодательства Российской Федерации в сфере персональных данных Оператором обеспечивается надлежащее документальное сопровождение процессов обработки персональных данных:

  • Анализ правовых оснований обработки персональных данных;
  • Документальное закрепление целей обработки;
  • Установление сроков обработки персональных данных;
  • Регламентация процессов обработки персональных данных (в том числе процесса допуска к персональным данным, процесса прекращения обработки персональных данных);
  • Определения круга лиц, осуществляющих обработку персональных данных и (или) имеющих доступ к персональным данным;
  • Выявление и классификация информационных систем персональных данных;
  • Распределение и закрепление обязанностей и ответственности работников Оператора в сфере обработки и обеспечения безопасности персональных данных.

Предоставление права доступа к персональным данным (допуск к обработке персональных данных), обрабатываемым Оператором, осуществляется в соответствии с установленным порядком.

Обеспечение безопасности персональных данных, обрабатываемых Оператором, достигается скоординированным применением различных по своему характеру мер как организационного, так и технического характера.

Оператор назначает лицо, ответственное за организацию обработки персональных данных. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от директора и подотчетно ему.

Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

  • Осуществлять внутренний контроль за соблюдением Оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
  • Доводить до сведения работников Оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
  • Организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

Оператором реализованы меры физической защиты помещений, где размещены технические средства, обрабатывающие персональные данные, и хранятся материальные носители персональных данных, от несанкционированного проникновения.

Все работники оператора, допущенные к обработке персональных данных, ознакомлены под роспись с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами Оператора по вопросам обработки и защиты персональных данных, в части, их касающейся.