1. Общие положения
1.1. В целях выполнения норм федерального законодательства в области обработки персональных данных ООО «Келаст» ОГРН 1095321005790 (далее – Оператор) считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных (далее – пдн), а также обеспечение безопасности процессов их обработки.
1.2. Настоящая политика в отношении обработки и защиты персональных данных в ООО «Келаст» (далее – Политика) характеризуется следующими признаками:
1.2.1. Раскрывает основные категории персональных данных, обрабатываемых Оператором, цели, способы и принципы обработки Оператором персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке.
1.2.2. Является общедоступным документом, декларирующим основы деятельности Оператора при обработке и защите персональных данных.
1.3. Политика обработки пдн разработана с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных (далее – пдн).
1.4. Основные понятия:
- Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- Оператор персональных данных (оператор) – юридическое лицо (государственный орган, муниципальный орган, физическое лицо), самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
- Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
- Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2. Права субъектов персональных данных
2.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.
2.2. Субъект персональных данных вправе требовать от Оператора, который их обрабатывает, уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2.3. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
2.4. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.
2.3. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации Оператором, а обработка должна быть прекращена, соответственно.
2.4. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку пдн подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.
2.5. Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.
2.6. Оператор реагирует на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным.
3. Правовые основания обработки персональных данных
3.1. Правовым основанием обработки и защиты персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных.
3.2. Политика Оператора в области обработки и защиты персональных данных разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации", постановлением Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", иными федеральными законами и нормативно-правовыми актами.
Согласно рекомендациям Роскомнадзора Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», не может служить правовым основанием обработки персональных данных оператором, поскольку указанный Закон регулирует отношения, связанные с обработкой персональных данных, а также закрепляет требования, предъявляемые к операторам при обработке персональных данных.
4. Цели обработки персональных данных
4.1. Оператор обрабатывает персональные данные исключительно в следующих целях:
4.1.1. Осуществление и выполнение возложенных законодательством на Оператора функций, полномочий и обязанностей, в частности:
- Выполнение требований законодательства в сфере труда и налогообложения;
- Выполнение требований законодательства по определению порядка обработки и защиты пдн граждан, являющихся клиентами или контрагентами ООО «Келаст» (далее – субъекты персональных данных).
4.1.2. Заключения и выполнения обязательств по договорам гражданско-правового характера и договорам с контрагентами.
4.1.3. Осуществления прав и законных интересов ООО «Келаст» в рамках осуществления предусмотренных видов деятельности либо достижения общественно значимых целей.
4.1.4. Предоставления сведения в случаях, предусмотренных законодательством РФ, то есть на совершение действий, предусмотренных п. 3 ст.3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
4.1.5. В иных законных целях.
5. Категории обрабатываемых персональных данных. Состав ПДН.
5.1. В информационных системах персональных данных Оператора обрабатываются следующие категории персональных данных:
5.1.1. Персональные данные сотрудников Оператора, бывших работников, кандидатов на замещение вакантных должностей, а также родственников работников. Источники получения: субъекты персональных данных ООО «Келаст».
5.1.2. Персональные данные получателей услуг и товаров, их представителей. Источники получения: клиенты и контрагенты (физические лица), а также представители/работники клиентов и контрагентов оператора (юридических лиц), обратившиеся в ООО «Келаст» с помощью интернет ресурсов.
5.2. Состав пдн каждой из перечисленных категории субъектов определяется согласием на передачу персональных данных. В случаях, предусмотренных действующим законодательством, субъект персональных данных принимает решение о предоставлении его пдн Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе.
5.3. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в ООО «Келаст» не осуществляется.
5.4. Оператор не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
5.5. Оператор обеспечивает соответствие содержания и объема обрабатываемых пдн заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.
5.6. Хранение пдн осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
5.7. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
5.8. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
5.9. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона 152-ФЗ «О персональных данных».
6. Перечень действий с персональными данным
6.1. При обработке пдн Оператор будет осуществлять следующие действия с пдн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
6.2. Обработка персональных данных в ООО «Келаст» осуществляется следующими способами:
· Неавтоматизированная обработка персональных данных;
· Автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
· Смешанная обработка персональных данных.
6.3. Перечень действий, на совершение которых дается согласие: производить с пдн действия (операции), определенные статьей 3 Федерального закона от 27.07.2006 №152-ФЗ, а именно: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение
(в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Обработка персональных данных может осуществляться как с использованием средств автоматизации, так и без их использования (на бумажных носителях).
6.4. Согласие на передачу персональных данных третьим лицам: обмен (прием, передачу, обработку) персональными данных между Оператором (организацией-работодателем) и третьими лицами в соответствии с заключенными договорами и соглашениями, в целях соблюдения моих законных прав и интересов.
6.5. Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.
6.6. Оператор производит передачу персональных данных третьим лицам на основании соответствующего соглашения и только с согласия субъектов персональных данных.
6.7. В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных, в зависимости от категории субъектов Оператор в ходе своей деятельности предоставляет персональные данные следующим организациям: Федеральной налоговой службе; Отделению Пенсионного фонда РФ; Участникам системы межведомственного электронного взаимодействия.
6.8. Оператор не поручает обработку персональных данных другим лицам на основании договора.
7. Меры по обеспечению безопасности персональных данных при их обработке
7.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
7.1.1. Назначением ответственных за организацию обработки персональных данных.
7.1.2. Осуществлением внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам.
7.1.3. Ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и (или) обучением указанных сотрудников.
7.1.4. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
7.1.5. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.
7.1.6. Выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.
7.2. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.