Политика компании в отношении обработки персональных данных

1. Общие положения

Данная Политика по обработке персональных данных составлена в соответствии с Федеральным законом № 152-ФЗ от 27.07.2006 года «О персональных данных» (далее – Закон ФЗ-152).

Целью настоящей Политики является установление процедур обработки персональных данных и принятие мер по обеспечению их безопасности в компании ООО «Моё Пространство» (далее – Оператор) для защиты прав и свобод физических лиц при обработке их персональных данных, включая защиту прав на частную жизнь, личную и семейную тайну.

В данной Политике используются следующие основные ключевые термины и понятия:

  • Автоматизированная обработка персональных данных – это процесс обработки персональных данных с использованием вычислительных средств.
  • Блокирование персональных данных – это временное прекращение обработки персональных данных, исключая случаи, когда необходима дополнительная обработка данных для их уточнения.
  • Информационная система персональных данных – это совокупность личных персональных данных, хранящихся в базах данных, и технологий и технических средств, используемых для их обработки.
  • Обезличивание персональных данных – это процесс, в результате которого становится невозможным установить принадлежность персональных данных конкретному субъекту без использования дополнительной информации.
  • Обработка персональных данных – это любые действия или совокупность действий, выполняемых с личными данными, с использованием или без использования автоматизированных средств. Это включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
  • Оператор – это государственный или муниципальный орган, юридическое либо физическое лицо, которое самостоятельно или совместно с другими лицами осуществляет организацию и/или выполнение обработки персональных данных. Оператор также определяет цели обработки персональны данных, перечень данных, подлежащих обработке, а также действия или операции, которые будут выполняться с этими данными.
  • Персональные данные – это любая информация, связанная с прямо или косвенно идентифицированным или идентифицируемым физическим лицом (субъектом персональных данных).
  • Предоставление персональных данных – это действия, направленные на разглашение персональных данных конкретному лицу или ограниченному кругу лиц.
  • Распространение персональных данных – это действия, направленные на раскрытие персональных данных неопределенному кругу лиц, что включает передачу данных, ознакомление неограниченного круга лиц с персональными данными, в том числе публикацию данных в средствах массовой информации, их размещение в информационно-телекоммуникационных сетях или предоставление доступа к данным любым другим способом.
  • Трансграничная передача персональных данных – это передача персональных данных на территорию иностранного государства, в органы власти иностранного государства, иностранному физическому или юридическому лицу.
  • Уничтожение персональных данных – это процесс, после выполнения которого становится невозможным восстановить содержание персональных данных в рамках информационной системы обработки данных и/или в результате которого физически уничтожаются носители, на которых хранились эти данные.

Компания обязуется обеспечить публичный доступ к данной Политике обработки персональных данных, реализуя требования части 2 статьи 18.1 Федерального закона №152-ФЗ, что подразумевает публикацию или иное обеспечение свободного доступа к данной Политике.

2. Принципы и условия обработки персональных данных

2.1 Основные принципы обработки персональных данных

Оператор осуществляет обработку персональных данных, руководствуясь следующими принципами:

  • Соблюдение законности и справедливости в процессе обработки;
  • Ограничение обработки персональных данных достижением специфических, заранее определенных и законных целей;
  • Избегание обработки персональных данных, которая не соответствует целям их сбора;
  • Предотвращение слияния баз данных с персональными данными, обработка которых осуществляется для несовместимых целей;
  • Ограничение обработки исключительно теми персональными данными, которые соответствуют целям обработки;
  • Соответствие содержания и объема обрабатываемых персональных данных заявленным целям;
  • Исключение обработки избыточных персональных данных по отношению к заявленным целям;
  • Обеспечение точности, достаточности и актуальности персональных данных в соответствии с целями обработки;
  • Уничтожение или обезличивание персональных данных после достижения целей обработки или при отсутствии необходимости в их дальнейшей обработке, а также в случае невозможности исправления нарушений, если иное не предусмотрено федеральным законодательством.

2.2 Условия обработки персональных данных

Оператор осуществляет обработку персональных данных при соблюдении хотя бы одного из следующих условий:

  • Обработка персональных данных производится с согласия субъекта персональных данных;
  • Обработка персональных данных необходима для реализации целей, предусмотренных международным договором Российской Федерации или законом, а также для выполнения функций, полномочий и обязанностей, возложенных на оператора законодательством РФ;
  • Обработка персональных данных требуется для реализации правосудия, исполнения судебного решения, решения другого органа или должностного лица в соответствии с законодательством РФ об исполнительном производстве;
  • Обработка персональных данных необходима для исполнения договора, в котором субъект персональных данных выступает стороной, выгодоприобретателем или поручителем, а также для заключения договора по инициативе субъекта персональных данных;
  • Обработка персональных данных необходима для защиты прав и законных интересов оператора или третьих лиц, или для достижения общественно значимых целей, при условии, что это не нарушает прав и свобод субъекта персональных данных;
  • Производится обработка персональных данных, к которым предоставлен общедоступный доступ субъектом персональных данных;
  • Обрабатываются личные данные, которые подлежат публикации или обязательному раскрытию по федеральному закону.

2.3 Условия обработки персональных данных

Оператор и другие лица, имеющие доступ к личным данным, обязаны не раскрывать и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

2.4 Общедоступные источники персональных данных

Для информационных целей Оператор может создавать общедоступные источники персональных данных, включая справочники и адресные книги. В такие источники могут быть включены личные данные субъекта, такие как фамилия, имя, отчество, дата и место рождения, занимаемая должность, контактные телефоны, адрес электронной почты и другие данные, предоставленные субъектом, но только с его письменного согласия.

Личные данные субъекта должны быть удалены из общедоступных источников по его требованию или по решению суда, либо по распоряжению других уполномоченных государственных органов в любое время.

2.5 Обработка специальных категорий персональных данных

Оператор может обрабатывать специальные категории персональных данных, относящиеся к расовой и национальной принадлежности, политическим взглядам, религиозным или философским убеждениям, состоянию здоровья, интимной жизни, при следующих условиях:

  • Субъект персональных данных предоставил письменное согласие на их обработку;
  • Личные данные были сделаны общедоступными самим субъектом;
  • Обработка необходима для целей, предусмотренных законодательством о социальной помощи, трудовым законодательством, законодательством о пенсиях;
  • Обработка требуется для защиты жизни, здоровья или других важных интересов субъекта или других лиц, когда невозможно получить согласие субъекта;
  • Обработка необходима для медицинских целей, диагностики, оказания медицинских услуг и осуществляется медицинскими работниками, обязанными сохранять врачебную тайну;
  • Обработка необходима для установления или защиты прав субъекта или третьих лиц, а также в связи с правосудием;
  • Обработка осуществляется в соответствии с законодательством об обязательных видах страхования.
  • Обработка специальных категорий персональных данных должна быть немедленно прекращена, как только отпадает необходимость в их обработке, если только федеральным законом не предусмотрено иное.

    Обработка персональных данных о судимости допускается Оператором только в случаях и порядке, установленных федеральными законами.

2.6 Обработка биометрических персональных данных

Биометрические личные данные, представляющие собой информацию о физиологических и биологических характеристиках человека, которые могут быть использованы для идентификации его личности, Оператор имеет право обрабатывать только при условии получения письменного согласия от субъекта этих данных.

2.7 Делегирование обработки персональных данных

Оператор имеет право поручить обработку персональных данных другому лицу на основании письменного согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, с заключением соответствующего договора с этим лицом. Лицо, ответственное за обработку персональных данных по поручению Оператора, обязано следовать принципам и нормам обработки персональных данных, установленным Федеральным законом №152-ФЗ.

2.8 Трансграничная передача персональных данных

Перед началом трансграничной передачи персональных данных Оператор должен удостовериться, что иностранное государство, на территорию которого планируется передача, обеспечивает адекватную защиту прав субъектов персональных данных.

Трансграничная передача персональных данных в страны, не обеспечивающие адекватную защиту прав субъектов, возможна в следующих случаях:

  • При наличии письменного согласия субъекта персональных данных на трансграничную передачу его данных;
  • Для исполнения договора, в котором субъект персональных данных является стороной.

3. Права субъекта персональных данных

3.1 Согласие на обработку персональных данных

Субъект персональных данных самостоятельно принимает решение о предоставлении своих данных и дает согласие на их обработку добровольно и осознанно. Согласие может быть выражено в любой форме, позволяющей подтвердить его получение, если иное не предусмотрено законом. Оператор несет ответственность за предоставление доказательства получения согласия на обработку персональных данных от субъекта, в соответствии с требованиями ФЗ-152.

3.2 Права субъекта персональных данных

Субъект персональных данных имеет право получать информацию от Оператора об обработке своих персональных данных, за исключением случаев, ограниченных федеральными законами. Субъект имеет право требовать корректировки, блокировки или уничтожения своих персональных данных, если они неполные, устаревшие, неточные, незаконно получены или не нужны для заявленной цели обработки. Субъект также может принимать меры по защите своих прав, предусмотренные законом.

Обработка персональных данных для маркетинговых целей или политической агитации возможна только с предварительного согласия субъекта. Оператор обязан прекратить обработку данных в этих целях по требованию субъекта.

Запрещается принятие решений, основанных исключительно на автоматизированной обработке персональных данных, которые влекут за собой юридические последствия для субъекта, за исключением случаев, предусмотренных законами, или при наличии письменного согласия субъекта.

Субъект персональных данных имеет право обжаловать действия или бездействие Оператора в случае нарушения его прав и свобод, обращаясь в Уполномоченный орган по защите прав субъектов персональных данных или в суд. Субъект также имеет право на возмещение убытков и компенсацию морального вреда через судебные инстанции.

4. Меры по обеспечению безопасности персональных данных

Безопасность персональных данных, обрабатываемых Оператором, гарантируется через выполнение необходимых правовых, организационных и технических мер, соответствующих требованиям федерального законодательства по защите персональных данных.

Оператор применяет следующие меры для предотвращения несанкционированного доступа к личным данным:

  • Назначение ответственных за обработку и защиту персональных данных;
  • Ограничение доступа к личным данным только уполномоченным лицам;
  • Информирование субъектов о нормах законодательства и внутренних документах Оператора по обработке и защите персональных данных;
  • Управление учетом, хранением и использованием носителей информации;
  • Оценка угроз безопасности персональных данных и создание на их основе моделей угроз;
  • Разработка системы защиты персональных данных, основанной на модели угроз;
  • Проверка эффективности средств защиты информации;
  • Разграничение доступа пользователей к ресурсам и оборудованию обработки информации;
  • Регистрация и учет действий пользователей в информационных системах персональных данных;
  • Использование антивирусных и средств восстановления системы защиты данных;
  • Применение средств межсетевой защиты, обнаружения вторжений, анализа безопасности и криптографической защиты информации при необходимости;
  • Организация контроля доступа на территорию Оператора и охраны помещений с техническими средствами обработки персональных данных.

5. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Прочие права и обязанности Оператора как субъекта обработки персональных данных определяются действующим законодательством Российской Федерации в сфере персональных данных.

Должностные лица Оператора, нарушающие нормы, регламентирующие обработку и защиту персональных данных, подлежат ответственности, включая материальную, дисциплинарную, административную, гражданско-правовую или уголовную, в соответствии с федеральным законодательством.