Политика в отношении обработки персональных данных

1. Назначение и область применения

Настоящая Политика в области обработки персональных данных (далее — Политика) разработана на основании ст.18.1 Федерального закона № 152-ФЗ «О персональных данных», с учетом требований Конституции Российской Федерации, Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, международных договоров Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации в области персональных данных.

Действие настоящей Политики распространяется на отношения по обработке и обеспечению безопасности информации ограниченного доступа, относящейся в соответствии с законодательством Российской Федерации к персональным данным (далее — ПДн).

Настоящая Политика определяет принципы, цели, порядок и условия обработки ПДн работников ООО «ТРИС» (далее — Компания) и иных субъектов, чьи ПДн обрабатываются Компанией.

Политика неукоснительно исполняется руководителями и работниками всех структурных подразделений и филиалов ООО «ТРИС». Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Компании с применением средств автоматизации и без применения таких средств.

Действие настоящей Политики не распространяется на отношения, возникающие при:

— организации хранения, комплектования, учета и использования содержащих персональные данные документов, имеющих статус архивных документов в соответствии с законодательством об архивном деле в Российской Федерации,

— обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Положениями настоящей Политики руководствуются все работники Компании.

2. Обозначения, сокращения и определения

ПДн Персональные данные

ИСПДн Информационная система персональных данных

НСД Несанкционированный доступ

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (гражданину). Т.е. к такой информации, в частности, можно отнести: ФИО, год, месяц, дата и место рождения, адрес, сведения о семейном, социальном, имущественном положении, сведения об образовании, профессии, доходах, сведения о состоянии здоровья, а также другую информацию.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данным, совершаемых с использованием средств автоматизации или без использования таких средств. К таким действиям (операциям) можно отнести: сбор, получение, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

3. Принципы обработки персональных данных

Обработка ПДн осуществляется в Компании на основе следующих принципов:

— обработка ПДн осуществляется на законной и справедливой основе;

— обработка ПДн ограничена достижением конкретных, заранее определенных и законных целей;

— Компания не обрабатывает ПДн, несовместимые с целями сбора персональных данных;

— Компания разделяет базы данных, содержащие ПДн, обработка которых осуществляется в целях, несовместимых между собой;

— Компания обрабатывает только ПДн, которые отвечают целям их обработки;

— содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки;

— обрабатываемые ПДн не являются избыточными по отношению к заявленным целям их обработки;

— при обработке ПДн обеспечиваются точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн.

— принимаются необходимые меры либо обеспечиваться их принятие по удалению или уточнению неполных или неточных ПДн;

— хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;

— обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3. Субъекты персональных данных ООО «ТРИС» обрабатывает персональные данные следующих лиц:

— работников ООО «ТРИС»;

— субъектов, с которыми заключены договоры гражданско-правового характера;

— кандидатов на замещение вакантных должностей ООО «ТРИС»;

— клиентов ООО «ТРИС»;

— зарегистрированных пользователей сайта ООО «ТРИС»

— представителей юридических лиц;

— поставщиков (индивидуальных предпринимателей).

4. Цели обработки персональных данных

Компания осуществляет обработку персональных данных в целях осуществления деятельности Компании согласно законодательству Российской Федерации и Уставу Компании.

5. Права субъекта персональных данных

Гражданин, персональные данные которого обрабатываются ООО «ТРИС», имеет право:

— получать от ООО «ТРИС»:

— подтверждение факта обработки персональных данных ООО «ТРИС»;

— правовые основания и цели обработки персональных данных;

— сведения о применяемых ООО «ТРИС» способах обработки персональных данных;

— наименование и местонахождения ООО «ТРИС»;

— сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ООО «ТРИС» или на основании федерального закона;

— перечень обрабатываемых персональных данных, относящихся к гражданину, от которого поступил запрос и источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;

— сведения о сроках обработки персональных данных, в том числе о сроках их хранения;

— сведения о порядке осуществления гражданином прав, предусмотренных Федеральным законом «О персональных данных» № 152-ФЗ;

— информацию об осуществляемой или о предполагаемой трансграничной передаче персональных данных;

— наименование и адрес лица, осуществляющего обработку персональных данных по поручению ООО «ТРИС»;

— иные сведения, предусмотренные Федеральным законом «О персональных данных» № 152-ФЗ или другими федеральными законами;

— требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

— отозвать свое согласие на обработку персональных данных;

— требовать устранения неправомерных действий ООО «ТРИС» в отношении его персональных данных

— обжаловать действия или бездействие ООО «ТРИС» в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если гражданин считает, что ООО «ТРИС» осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы;

— на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

6. Обработка и обеспечение безопасности персональных данных

6.1 Обработка и порядок прекращения обработки персональных данных

Обработка персональных данных в Компании допускается в следующих случаях:

  1. обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
  2. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
  3. обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
  4. обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных. Исключение составляет обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации.
  5. осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных, либо по его просьбе.
  6. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом,
  7. а также обработка персональных данных Компанией возможна в иных случаях, предусмотренных федеральным законодательством.

Включение Компанией персональных данных субъектов в общедоступные источники персональных данных возможно только в случае наличия требований федерального законодательства, либо в случае получения письменного согласия субъекта персональных данных.

Компания осуществляет трансграничную передачу персональных данных работников в целях исполнения договорных обязательств с контрагентами только на в случае наличия письменного согласия субъекта персональных данных.

Компанией не осуществляется принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы на основании исключительно автоматизированной обработки персональных данных

Компания вправе поручить обработку персональных данных другому лицу только с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее — поручение оператора). При этом Компания обязывает лицо, осуществляющее обработку персональных данных по поручению, соблюдать принципы и правила обработки персональных данных, предусмотренные федеральным законом. В случае если Компания поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Компания. Лицо, осуществляющее обработку персональных данных по поручению Компании, несет ответственность перед Компанией.

Компания обязуется и обязывает иных лиц, получивших доступ к персональных данных не раскрывать третьим лицам и не распространять персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Обработка Компанией персональных данных прекращается в следующих случаях:

— достижение целей обработки персональных данных;

— истечение срока обработки персональных данных, предусмотренного федеральным законодательством, договором или согласием субъекта персональных данных на обработку его персональных данных;

— при отзыве субъектом персональных данных согласия на обработку его персональных данных, в случаях, не противоречащих требованиям федерального законодательства.

7. Нарушение политики и ответственность

Компания несет ответственность за соответствие обработки и обеспечение безопасности персональных данных законодательству. Все работники Компании, осуществляющие обработку персональных данных, несут ответственность за соблюдение настоящей Политики и иных локальных актов Компании по вопросам обработки и обеспечению безопасности персональных данных.

Любой работник, которому стало известно о нарушении настоящей Политики или который подозревает о существовании такого нарушения, должен сообщить об этом лицу, ответственному за организацию обработки персональных данных, в соответствии с существующими в Компании процедурами.

Любые нарушения настоящей Политики и иных локальных актов Компании по вопросам обработки и обеспечению безопасности персональных данных будут расследоваться в соответствии с действующими в Компании процедурами.

Лица, признанные виновными в нарушении установленных порядка и процедур обработки и обеспечения безопасности персональных данных, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством Российской Федерации.