Политика по обработке персональных данныхООО «Маркетинг рисков и возможностей»
- Общие положения
- Настоящая Политика по обработке персональных данных в ООО «Маркетинг рисков и возможностей» (далее — Политика).
- Политика разработана в соответствии с Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «О персональных данных», Уставом ООО «Маркетинг рисков и возможностей».
- Цель разработки Политики — определение порядка обработки персональных данных работников ООО «Маркетинг рисков и возможностей» и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий оператора; согласно нормам и принципам законодательства Российской Федерации, и специальным требованиям к обработке персональных данных.
- Настоящая Политика вступает в силу с момента ее утверждения ООО «Маркетинг рисков и возможностей».
- Политика действует только в пределах ООО «Маркетинг рисков и возможностей», распространяется в равной мере на всех работников, участвующих в обработке, и является обязательным для применения и соблюдения.
- Все работники ООО «Маркетинг рисков и возможностей», участвующие в обработке персональных данных, должны быть ознакомлены с настоящей Политикой под роспись.
- Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии ООО «Маркетинг рисков и возможностей», если иное не определено законом.
- Контроль за соблюдением настоящей Политики осуществляет ответственные за организацию обработки персональных данных в ООО «Маркетинг рисков и возможностей».
- Основные понятия, используемые в настоящей Политике:
- персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных;
- обработка персональных данных — любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- конфиденциальность персональных данных — обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным субъектов, требование не допускать их распространения без согласия субъекта или иного законного основания;
- распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
- блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
- уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
- общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
- информация — сведения (сообщения, данные) независимо от формы их предоставления.
- Цели обработки персональных данных
- Обработка персональных данных в ООО «Маркетинг рисков и возможностей» осуществляется для достижения конкретных и законных целей: для заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическими лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и Уставом предприятия; ведение личных дел сотрудников; работа с жалобами, заявлениями граждан; обеспечение кадрового резерва, обработка персональных данных, необходимая для профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных. Не допускается обработка персональных данных, несовместимая с целями, для которых собирались персональные данные.
- Сбор, обработка, хранение персональных данных и условия передачи третьим лицам
- Обработка персональных данных осуществляется исключительно в целях выполнения обязательств ООО «Маркетинг рисков и возможностей», обеспечения соблюдения законов и иных нормативных правовых актов,
- Ответственные за обработку персональных данных работников ООО «Маркетинг рисков и возможностей» и их законных представителей и иных субъектов персональных данных назначаются приказом ООО «Маркетинг рисков и возможностей».
- Запрещается использовать персональные данные в целях причинения имущественного и морального вреда гражданам, затруднения реализации ими своих прав и свобод.
- Персональные данные субъекта получают с его согласия у него самого, либо у его представителя.
- Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
- Уполномоченные должностные лица ООО «Маркетинг рисков и возможностей» должны сообщить субъекту о характере подлежащих получению персональных данных, о целях, для которых они собираются и последствиях отказа субъекта предоставить данные.
- В случаях, предусмотренных законом «О персональных данных», когда необходимо получение письменного согласия субъекта, уполномоченные должностные лица должны предоставить субъекту форму такого согласия.
- Для достижения целей обработки персональных данных ООО «Маркетинг рисков и возможностей» вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных и цели обработки, установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указаны стандарт обеспечения безопасности или требования к обеспечению безопасности обрабатываемых персональных данных.
- Если персональные данные субъектов предоставляются третьей стороной, то обязанность получения согласия возлагается на сторону, собирающую данные непосредственно у субъекта, и данная обязанность отражается в договоре между сторонами.
- Не допускается получение и обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность (биометрические персональные данные), которые используются оператором для установления личности субъекта персональных данных, без согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных законом «О персональных данных».
Информация, относящаяся к персональным данным субъекта, может быть предоставлена государственным органам в порядке, установленном действующим законодательством Российской Федерации.
- Не допускается сообщать персональные данные субъекта третьей стороне без его согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных законодательством Российской Федерации.
- В случае если лицо, обратившееся с запросом, не уполномочено действующим законодательством Российской Федерации на получение персональных данных субъекта либо отсутствует согласие субъекта на предоставление его персональных данных, руководство ООО «Маркетинг рисков и возможностей» обязано отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдаётся письменное уведомление об отказе в предоставлении персональных данных с указанием причины отказа.
- При передаче персональных данных субъекта третьим лицам необходимо предупреждать их о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать режим конфиденциальности. Исключение составляет обмен персональными данными в порядке, установленном действующим законодательством.
- Передача персональных данных субъекта в пределах ООО «Маркетинг рисков и возможностей» осуществляется в соответствии с локальными нормативными актами, должностными инструкциями, приказами директора.
- Копировать и делать выписки персональных данных субъекта разрешается исключительно в служебных целях с письменного разрешения ответственного за обработку персональных данных, осуществляющего обработку и хранение ООО «Маркетинг рисков и возможностей».
- Согласие на обработку персональных данных
- Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
4.2 Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя отчество, адрес представителя, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя (при получении согласия от представителя субъекта персональных данных);
- наименование и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие, а также способ его отзыва, если иное не установлено федеральными законами;
- подпись субъекта персональных данных.
- Согласие субъекта не требуется в следующих случаях:
- обработка персональных данных, необходимая для достижения целей, предусмотренных законом или международным договором Российской Федерации, для осуществления функций и полномочий, выполнения обязанностей, возложенных законодательством на оператора, в том числе в целях осуществления правосудия или исполнения судебного решения;
- обработка персональных данных, необходимая для достижения общественно значимых целей;
- обработка персональных данных, необходимая для исполнения договора, одной из сторон которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных, необходимая для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных, необходимая для осуществления прав и законных интересов оператора или третьих лиц, при условии, что при этом не нарушаются права и свободы субъектов персональных данных;
- обработка персональных данных, необходимая для профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
- обработка персональных данных осуществляется для статистических или иных исследовательских целей, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
- обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных, либо по просьбе субъекта персональных данных (сделанных субъектом персональных данных общедоступными);
- обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральными законами.
- Доступ к персональным данным
- Операторы и иные лица, получившие доступ к персональным данным, если иное не предусмотрено федеральным законом, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных или наличия иного законного основания.
- Доступ к персональным данным работников ООО «Маркетинг рисков и возможностей», их законных представителей и иных субъектов персональных данных имеют директор ООО «Маркетинг рисков и возможностей» и должностные лица, осуществляющие обработку персональных данных, согласно утвержденному списку.
- Доступ сотрудников других структурных подразделений ООО «Маркетинг рисков и возможностей» к персональным данным работников ООО «Маркетинг рисков и возможностей» и их законных представителей, и иных субъектов персональных данных осуществляется на основании приказа или письменного разрешения директора ООО «Маркетинг рисков и возможностей». Доступ представителей сторонних организаций к персональным данным субъекта осуществляется с письменного согласия субъекта персональных данных.
- Ознакомление с персональными данными субъекта сотрудниками правоохранительных органов осуществляется беспрепятственно в пределах их полномочий, при предъявлении ими соответствующих документов, с разрешения руководителя ООО «Маркетинг рисков и возможностей.
- Защита персональных данных
- Должностные лица ООО «Маркетинг рисков и возможностей» обязаны принимать или обеспечивать принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий с ними (далее – меры по обеспечению безопасности персональных данных). Указанные меры принимаются с учетом возможного вреда субъекту персональных данных, объема и характера обрабатываемых персональных данных, условий обработки персональных данных, актуальности угроз безопасности персональных данных, а также возможностей технической реализации этих мер.
- Целями защиты информации являются:
- предотвращение утечки, хищения, утраты, искажения, подделки информации,
- предотвращение угроз безопасности личности, общества, государства,
- предотвращение несанкционированных действий по уничтожению,
- модификации, искажению, копированию, блокированию информации,
- предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы ООО «Маркетинг рисков и возможностей»,
- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах ООО «Маркетинг рисков и возможностей»,
- сохранение конфиденциальности документированной информации в соответствии с законодательством.
- Меры по обеспечению безопасности персональных данных включают в себя, в частности:
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение методов (способов) защиты информации и прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учет машинных носителей персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
- Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
- Работники ООО «Маркетинг рисков и возможностей», виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
Директор ООО «Маркетинг рисков и возможностей» Ющук Е.Л.