Политика конфиденциальности
УТВЕРЖДЕНО
Приказом № 2
Генерального директора
ООО «ТопКлимат»
Иванова Сергея Владимировича
От «28» июля 2006 г.
ПОЛИТИКА ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ООО «ТопКлимат»
Редакция 1
Санкт-Петербург
Содержание
1. Назначение и область применения……………………………………………………3
2. Термины, определения и сокращения………………………………………………...3
3. Принципы обработки ПДн………………………………………………………....…….4
4. Условия обработки ПДн……………………………………………………………….....5
5. Обязанности Компании………………………………………………………………......6
6. Меры по обеспечению безопасности ПДн при их обработке................................7
1. Назначение и область применения
1.1. Настоящая «Политика по обработке персональных данных в ООО «ТопКлимат» (далее – Политика) является локальным нормативным актом ООО «ТопКлимат» (далее – Компания).
1.2. Настоящая Политика определяет принципы и условия обработки ПДн, меры по защите ПДн, а также обязанности Компании при их обработке.
1.3. Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации о персональных данных и нормативно-методическими документами исполнительных органов государственной власти по вопросам безопасности ПДн, в том числе при их обработке в информационных системах ПДн (далее – ИСПДН).
1.4. Действие настоящей Политики по обработке персональных данных распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению персональных данных, осуществляемых с использованием средств автоматизации и без использования таких средств.
2. Термины, определения и сокращения
Персональные данные (ПДн) – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Информационная система персональных данных (ИСПДн)– совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор – государственный орган, муниципальный орган, физическое или юридическое лицо, в том числе, ООО «ТопКлимат», самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
ФЗ № 152 «О персональных данных» - Федеральный закон от 27 июля 2006 года № 152.
3. Принципы обработки ПДН
3.1.Обработка ПДн в Компании осуществляется на основе следующих принципов:
3.1.1. Обработка ПДн осуществляется на законной и справедливой основе;
3.1.2. Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн;
3.1.3. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместных между собой;
3.1.4. Обработке подлежат только те ПДн, которые отвечают целям их обработки;
3.1.5. Содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям обработки;
3.1.6. При обработке ПДн обеспечивается их точность и достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;
3.1.7. Хранение ПДн: после достижения цели обработки данные Пользователя не уничтожаются, а хранятся в базе данных Оператора и используются сугубо для совершения действий (операций) статистического и информационного характера, не публикуясь и не передаваясь третьим лицам.
4. Условия обработки ПДн
4.1. Обработка персональных данных осуществляется с соблюдением принципов и правил, установленных ФЗ № 152 «О персональных данных». Обработка персональных данных в Компании допускается в следующих случаях:
4.1.1. Обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
4.1.2. Обработка ПДн необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных на оператора функций, полномочий и обязанностей;
4.1.3. Обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;
4.1.4. Обработка ПДн необходима для исполнения договора, стороной, выгодоприобретателем или поручителем которого является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
4.1.5. Обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
4.1.6. Обработка ПДн необходима для осуществления законных интересов и прав оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
4.1.7. Обработка ПДн осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания ПДн. Исключение составляет обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи;
4.1.8. Осуществляется обработка ПДн, доступ к которым неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (далее – ПДн, сделанные общедоступными субъектом ПДн);
4.1.9. Осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с ФЗ.
4.2. В следующих случаях (за исключением специально оговоренных в ФЗ № 152 «О персональных данных» случаев) требуется письменное согласие субъекта на обработку его ПДн:
- включение ПДн в общедоступные источники ПДн;
- принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы.
4.3. При отсутствии необходимости получения согласия субъекта на обработку ПДн в письменной форме, установленной ФЗ № 152 «О персональных данных», согласие субъекта может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт получения согласия форме, в т.ч., в электронном виде.
4.4. Компания вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено ФЗ, на основании заключаемого с этим лицом договора (далее – поручение оператора). Лицо, осуществляющее обработку ПДн по поручению Компании, обязано соблюдать принципы и правила обработки ПДн, предусмотренные настоящей Политикой и ФЗ № 152 «О персональных данных».
4.5. В случае, если Компания поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Компания. Лицо, осуществляющее обработку ПДн по поручению Компании, несет ответственность перед Компанией.
4.6. Компания не раскрывает третьим лицам и не распространяет ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
5. Обязанности компании
В соответствии с требованиямиФЗ № 152 «О персональных данных», Компания обязана:
- предоставить субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн, либо на законных условиях предоставить отказ;
- По требованию субъекта ПДн уточнять обрабатываемые ПДн, блокировать или удалять, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Либо обеспечить блокирование, удаление, в случае, если обработка ПДн осуществляется другим лицом, действующим по поручению оператора;
- Уведомлять субъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от субъекта ПДн;
- В случае отзыва субъектом ПДн согласия на обработку своих ПДн прекратить обработку ПДн и уничтожить их в срок, не превышающий тридцати дней со дня поступления указанного отзыва, если иное не предусмотрено Пользовательским соглашением. В этом случае об уничтожении ПДн Компания обязана уведомить субъекта ПДн;
- В случае поступления требования субъекта о прекращении обработки ПДн в целях продвижения товаров, работ, услуг на рынке немедленно прекратить обработку ПДн. Либо обеспечить прекращение обработки ПДн в случае, если обработка ПДн осуществляется другим лицом, действующим по поручению оператора.
6. Меры по обеспечению безопасности ПДн при их обработке
6.1. При обработке ПДн Компания принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
6.2. Обеспечение безопасности ПДн достигается, в частности:
- определением угроз безопасности ПДн при их обработке в информационных системах ПДн;
- применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к защите ПДн;
- учетом машинным носителей ПДн;
- обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
- восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к ПДн, обрабатываемым в информационной системе ПДн;
- контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн.