Политика обработки персональных данных в ООО «ЦЕНТР-СБК Дзержинск»

Контакты

Политика обработки персональных данных в ООО «ЦЕНТР-СБК Дзержинск»

(опубликовано для неограниченного доступа)

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в ООО «ЦЕНТР-СБК Дзержинск» (далее – Компания) c целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика обработки персональных данных в Компании (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных» (далее – Закон).

1.3. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Компании с применением средств автоматизации и без применения таких средств.

1.4. К настоящей Политике должен иметь доступ любой субъект персональных данных.

2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработка персональных данных в Компании осуществляется на основе следующих принципов:

− законности и справедливой основы;

− ограничения обработки персональных данных достижением конкретных, заранее определённых и законных целей;

− недопущения обработки персональных данных, несовместимой с целями сбора персональных  данных;

− недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

− обработки только тех персональных данных, которые отвечают целям их обработки;

− соответствия содержания и объёма обрабатываемых персональных данных заявленным целям обработки;

− недопущения обработки избыточных персональных данных по отношению к заявленным целям их обработки;

− обеспечения точности, достаточности и в необходимых случаях актуальности персональных данных по отношению к целям обработки персональных данных;

− хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели обработки персональных данных, если иной срок хранения не установлен федеральным законом, договором с субъектом персональных данных.

− уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей.

2.2. Компания обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:

− обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

− обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

− обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

− обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

− обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

− обработка персональных данных необходима для осуществления прав и законных интересов Компании, оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

− осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

− осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

2.3. Компания и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

2.4. В целях информационного обеспечения в Компании могут создаваться общедоступные источники персональных данных работников, в том числе справочники и адресные книги. В общедоступные источники персональных данных с согласия работника могут включаться его фамилия, имя, отчество, дата рождения, должность, номера контактных телефонов, адрес электронной почты. Сведения о работнике должны быть в любое время исключены из общедоступных источников персональных данных по требованию работника либо по решению суда или иных уполномоченных государственных органов.

2.5. Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Компании, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом.

2.6. Компания обязана соблюдать принципы и правила обработки персональных данных, предусмотренные Законом, при поручении оператором Компании обработки персональных данных на основании заключаемого оператором с Компанией договора.

2.7. Обработка Компанией специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, ЗАПРЕЩЕНА.

2.8. Обработка персональных данных о судимости может осуществляться Компанией исключительно в случаях и в порядке, которые определяются в соответствии с федеральными законами.

2.9. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность - биометрические персональные данные - ЗАПРЕЩЕНЫ.

2.10. Трансграничная передача персональных данных на территории иностранных государств не осуществляется Компанией.

 

3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

 

3.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и даёт согласие на их обработку свободно, своей волей и в своём интересе. Согласие на обработку  персональных данных может быть дано субъектом персональных данных или его представителем по форме утвержденной в Компании, если иное не установлено федеральным законом. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Законе, возлагается на Компанию.

3.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных в порядке и на условиях, предусмотренных Законом, если такое право не ограничено в соответствии с федеральными законами. Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

3.3. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путём осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации, ЗАПРЕЩЕНА.

3.4. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных Законом.

3.5. Если субъект персональных данных считает, что Компания осуществляет обработку его персональных данных с нарушением требований Закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора или Компании в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

 

4. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

4.1. Компания принимает меры по безопасности персональных данных, обрабатываемых Компанией, путем реализации или обеспечения реализации правовых, организационных, технических и программных мер, необходимых и достаточных для защиты персональных данных в соответствии с требованиями действующего законодательства.

4.2. Для целенаправленного создания в Компании неблагоприятных условий и труднопреодолимых препятствий для нарушителей, пытающихся осуществить несанкционированный доступ к персональным данным в целях овладения ими, их видоизменения, уничтожения, заражения вредоносной компьютерной программой, подмены и совершения иных несанкционированных действий Компанией применяются следующие организационно-технические меры:

− назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;

− ограничение и регламентация состава работников, имеющих доступ к персональным данным;

− ознакомление работников с требованиями федерального законодательства и нормативных документов Компании по обработке и защите персональных данных;

− обеспечение учёта и хранения материальных носителей информации и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;

− определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;

− разработка на основе модели угроз системы защиты персональных данных для соответствующего класса информационных систем;

− проверка готовности и эффективности использования средств защиты информации;

− реализация разрешительной системы доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;

− регистрация и учёт действий пользователей информационных систем персональных данных;

− парольная защита доступа пользователей к информационной системе персональных данных;

− применение средств контроля доступа к коммуникационным портам, устройствам ввода-вывода информации, съёмным машинным носителям и внешним накопителям информации;

− применение в необходимых случаях средств криптографической защиты информации для обеспечения безопасности персональных данных при передаче по открытым каналам связи и хранении на машинных носителях информации;

− осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок;

− применение межсетевого экранирования;

− обнаружение вторжений в корпоративную сеть Компании, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;

− резервное копирование информации;

− обеспечение восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

− обучение работников, использующих средства защиты информации, применяемые в информационных системах персональных данных, правилам работы с ними;

− учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним;

− использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

− проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных;

− размещение технических средств обработки персональных данных, в пределах охраняемой территории;

− организация пропускного режима на территорию Компании;

− поддержание технических средств охраны, сигнализации помещений в состоянии постоянной готовности.

5. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

5.1. Иные права и обязанности Компании, как оператора персональных данных, так и лица, осуществляющего обработку персональных данных по поручению оператора, определяются законодательством Российской Федерации и внутренними документами Компании в области персональных данных. Должностные лица Компании, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральным законодательством.