Политика компании в отношении обработки персональных данных
^ НАВЕРХ
тм FOROOM

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение определяет порядок работы с персональными данными ООО «Фирма «КАЛИТА» (далее по тексту – Оператор), в отношении которых Оператор осуществляет обработку их персональных данных.

1.2. Настоящее Положение разработано в целях:

1.2.1. Регламентации порядка осуществления операций с персональными данными;

1.2.2. Обеспечения требований Конституции Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации, Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных" (заключена в г. Страсбурге 28.01.1981), а также иных нормативно-правовых актов, действующих на территории Российской Федерации;

1.2.3. Установления прав, обязанностей и механизмов ответственности Оператора в части работы с персональными данными.
 

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Для целей настоящего Положения применяются следующие термины и определения:

Оператор ООО «Фирма «КАЛИТА» – организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных;

Субъект персональных данных – физическое лицо, персональные данные которого обрабатываются Оператором;

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно–телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

Предоставление персональных данных – действия направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Конфиденциальность персональных данных – обязанность Оператора не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

Публичные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или по его просьбе, или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.


 

3. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ И ГАРАНТИИ ИХ ЗАЩИТЫ

3.1. В целях обеспечения прав и свобод человека и гражданина Оператор и его представители при обработке персональных данных обязаны соблюдать следующие общие требования:

3.1.1. обработка персональных данных Субъектов персональных данных осуществляется в целях обеспечения соблюдения законов и иных нормативных правовых актов, осуществления Оператором своей профессиональной деятельности на основании Устава и полученных лицензий.

3.1.2. все персональные данные Субъекта персональных данных следует получать у него самого. Если персональные данные Субъекта персональных данных, возможно, получить только у третьей стороны, то он должен быть уведомлен об этом до начала обработки персональных данных и от него должно быть получено письменное согласие.

3.1.3. в случае необходимости проверки персональных данных, Оператор должен заблаговременно сообщить Субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Субъекта персональных данных дать письменное согласие на их получение.

3.2. Обработка персональных данных осуществляется на основе принципов:

3.2.1. законности целей и способов обработки персональных данных и добросовестности;

3.2.2. соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора;

3.2.3. соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

3.2.4. достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

3.2.5. недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

3.3. Обработка персональных данных осуществляется только с согласия субъекта персональных данных или в иных случаях, предусмотренных действующим законодательством, в целях, определенных Оператором.

3.4. Оператор не имеет права получать и обрабатывать персональные данные Субъекта персональных данных о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно предусмотренных нормами действующего законодательства, Оператор вправе получать и обрабатывать данные о частной жизни Субъекта персональных данных только с его письменного согласия.

3.5. Оператор не имеет права получать и обрабатывать персональные данные Субъекта персональных данных о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

3.6. При принятии решений, затрагивающих интересы Субъекта персональных данных, Оператор не имеет права основываться на персональных данных Субъекта персональных данных, полученных исключительно в результате их автоматизированной обработки, за исключением установленных законодательством случаев.

3.7. Защита персональных данных Субъекта персональных данных от неправомерного их использования или утраты должна быть обеспечена Оператором за счет его средств и в порядке, установленном федеральными законами.

3.8. Ответственность за сохранность документов и информации, содержащих персональные данные, несут Оператор и его работники, которым разрешен постоянный или временный доступ к персональным данным в соответствии с приказами генерального директора ООО «Фирма «КАЛИТА» или уполномоченного им лица.

3.9. Все документы и иные носители информации, содержащие персональные данные, хранятся в охраняемых помещениях. В соответствии с требованиями законодательства с целью обеспечения безопасности информации применяются соответствующие технические средства.

3.10. Документы и иные носители информации, содержащие персональные данные клиентов, контрагентов и т.п., хранятся в соответствующих структурных подразделениях Оператора, участвующих в обработке персональных данных, в порядке, обеспечивающем конфиденциальность указанных персональных данных.

3.11. Доступ к персональным данным, хранящимся в информационных системах, обеспечивается 2-ступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются работниками службы информационных технологий Оператора и сообщаются в индивидуальном порядке работникам Оператора, имеющим доступ к персональным данным.

3.12. В случае обращения к Оператору третьих лиц за информацией о персональных данных Субъекта персональных данных, такая информация может быть предоставлена только с письменного согласия Субъекта персональных данных, за исключением случаев, установленных законодательством.

3.13. Информация, относящаяся к персональным данным, может быть предоставлена государственным органам в порядке, установленном федеральным законом.

3.14. Всем работникам Оператора категорически запрещено несанкционированно снимать какие-либо копии с полученных документов, содержащих персональных данные, делать из них выписки и т.п.

3.15. В случае обращения или получения запроса субъекта персональных данных о предоставлении информации о наличии у Оператора его персональных данных и/или об их обработке, Оператор предоставляет запрошенную информацию в соответствии с законодательством либо предоставляет письменный мотивированный отказ

3.16. При изменении, уничтожении или блокировании неполных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки персональных данных по требованию Субъекта персональных данных Оператор направляет ему уведомление.

3.17. При передаче персональных данных Субъекта персональных данных Оператор должен соблюдать следующие требования:

  •  не сообщать персональные данные Субъекта персональных данных третьей стороне без письменного согласия Субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта персональных данных, а также в случаях, установленных федеральным законом;
  •  не сообщать персональные данные Субъекта персональных данных в коммерческих целях без его письменного согласия;
  •  предупредить лиц, получающих персональные данные Субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены;
  •  разрешать доступ к персональным данным только специально уполномоченным лицам, которым эти данные нужны для выполнения своих должностных обязанностей, при этом указанные лица получают только те персональные данные, которые необходимы для выполнения конкретных функций;
  •  не запрашивать информацию о состоянии здоровья Субъекта персональных данных, за исключением тех сведений, которые необходимы для заключения договора либо реализации заключенного договора между Оператором и Субъектом персональных данных.

 

4. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Оператор не осуществляет трансграничную передачу персональных данных

4.2. Предоставление удаленного доступа к базам данных, находящимся на территории Российской Федерации, с территории другого государства законодательством Российской Федерации не запрещается.

5. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ В ЦЕЛЯХ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ, ХРАНЯЩИХСЯ У ОПЕРАТОРА

  • В целях обеспечения защиты персональных данных, хранящихся у Оператора, Субъекты персональных данных имеют право на:
  •  полную информацию об их персональных данных и обработке этих данных;
  •  свободный бесплатный доступ к своим персональным данным, за исключением случаев, предусмотренных федеральными законами;
  •  требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законодательства. При отказе Оператора исключить или исправить персональные данные Субъекта персональных данных он имеет право заявить в письменной форме Оператору о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера Субъект персональных данных имеет право дополнить заявлением, выражающим его собственную точку зрения;
  •  требование об извещении Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные Субъекта персональных данных, обо всех произведенных в них исключениях, исправлениях или дополнениях;
  •  обжалование в суд любых неправомерных действий или бездействия Оператора при обработке и защите его персональных данных.
  •  защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

6. ОБЩЕДОСТУПНЫЕ ИСТОЧНИКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. В целях информационного обеспечения Оператором могут создаваться общедоступные источники персональных данных (в том числе справочники представителей, адресные, телефонные книги). В общедоступные источники персональных данных с письменного согласия Субъекта персональных данных могут включаться его фамилия, имя, отчество, адрес пункта самовывоза, рабочий телефон, сведения о профессии (должности), предоставленные Субъектом персональных данных.

6.2. Сведения о Субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию самого Субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

6.3. Обязанность представить доказательство получения согласия Субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на Оператора.

6.4. В случаях, предусмотренных федеральными законами, обработка персональных данных осуществляется только с согласия в письменной форме Субъекта персональных данных. Письменное согласие Субъекта персональных данных на обработку своих персональных данных должно включать в себя:

  •  фамилию, имя, отчество, адрес Субъекта персональных данных,
  •  наименование и адрес Оператора, получающего согласие Субъекта персональных данных;
  •  перечень персональных данных, на обработку которых дается согласие Субъекта персональных данных;
  •  перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;
  •  срок, в течение которого действует согласие, а также порядок его отзыва.

 

7. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ПРИНЯТИИ РЕШЕНИЙ НА ОСНОВАНИИ ИСКЛЮЧИТЕЛЬНО АВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ ИХ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Запрещается принятие решений, порождающих юридические последствия в отношении Субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральным законодательством в области защиты персональных данных.

7.2. Решение, порождающее юридические последствия в отношении Субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме Субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов Субъекта персональных данных.

7.3. Оператор обязан разъяснить Субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты Субъектом персональных данных своих прав и законных интересов.

7.4. Оператор обязан рассмотреть возражение, в течение семи рабочих дней со дня его получения и письменно уведомить Субъекта персональных данных о результатах рассмотрения такого возражения.
 

8. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут гражданско-правовую, уголовную, административную, дисциплинарную и иную ответственность, предусмотренную законодательством Российской Федерации.

9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

9.1. Настоящее Положение вступает в силу с момента его утверждения приказом генерального директора ООО «Фирма «КАЛИТА», действует до его отмены в аналогичном порядке и доводится до сведения всех работников Общества под личную подпись.

9.2. Изменения и дополнения в настоящее Положение вносятся на основании соответствующего приказа генерального директора ООО «Фирма «КАЛИТА» или уполномоченного им лица.