ПОЛИТИКА Общества с ограниченной ответственностью Группа компаний "ТриАР" (ООО ГК "ТриАР") В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. ОБЩИЕ ПОЛОЖЕНИЯ
Политика обработки персональных данных (далее – Политика) разработана в соответствии с Конституцией Российской Федерации, Гражданским кодексам Российской Федерации, Федеральным законом от 27.07.2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27.07.2006. №152-ФЗ "О персональных данных" (далее – ФЗ-152), постановлением Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства РФ от 06.07.2008 г. № 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиями хранения таких данных вне информационных систем персональных данных", постановлением Правительства РФ от 15.09.2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Указом Президента РФ от 06.03.1997г. № 188 "Об утверждении Перечня сведений конфиденциального характера", Приказом ФСТЭК России от 18.02.2013 г. № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", Приказом Роскомнадзора от 05.09.2013 г. № 996 "Об утверждении требований и методов по обезличиванию персональных данных" и иными федеральными законами и нормативно-правовыми актами.
Настоящая Политика определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых ООО ГК "ТриАР" (ИНН 7722835467) (далее – Оператор) персональных данных, функции
Оператора при обработке персональных данных, права субъектов персональных данных, а также реализуемые у Оператора требования к защите персональных данных. Положения Политики распространяются на отношения по обработке и защите персональных данных, полученных Оператором как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите персональных данных, полученных до ее утверждения.
В связи с реализацией своих прав и обязанностей как юридического лица, Оператором обрабатываются персональные данные физических лиц, являющихся контрагентами (возможными контрагентами, а также граждан, письменно или электронное обращающихся к Оператору по вопросам его деятельности).
Оператором не производится обработка персональных данных, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки персональных данных, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Оператором персональные данные уничтожатся или обезличиваются.
При обработке персональных данных обеспечиваются их точность, достаточность, а при необходимости - и актуальность по отношению к целям обработки. Оператор принимает необходимые меры по удалению или уточнению неполных, или неточных персональных данных.
В Политике используются следующие основные понятия:
Организация обязана опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике обработки персональных данных в соответствии с ч. 2 ст.
18.1. ФЗ-152 от 27.07.2006г. "О персональных данных" (сайт компании https://triar.su/).
2. ПРИНЦИПЫ, УСЛОВИЯ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1 Принципы обработки персональных данных
Обработка персональных данных у Оператора осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Оператора и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
— законности и справедливой основы;
— ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
— недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
— недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой; — обработки только тех персональных данных, которые отвечают целям их обработки;
— соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
— недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
— обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
— уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом.
2.2 Условия обработки персональных данных
Оператор производит обработку персональных данных при наличии хотя бы одного из следующих условий:
— обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
— обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
2.3. Цели обработки персональных данных
Оператор производит обработку персональных данных в целях, но не ограничиваясь:
— обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов оператора;
— для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
— реализации программных продуктов и услуг;
— формирования отзывов на программный продукт/услуги;
— иных целях.
2.4 Перечень субъектов, персональные данные которых обрабатываются Оператором
Оператором обрабатываются персональные данные следующих категорий субъектов: работников ООО ГК "ТриАР";
— бывших работников ООО ГК "ТриАР";
— субъектов, с которыми заключены договоры гражданско-правового характера;
— кандидатов на замещение вакантных должностей ООО ГК "ТриАР";
— клиентов ООО ГК "ТриАР";
— зарегистрированных пользователей сайта ООО ГК "ТриАР";
— представителей юридических лиц (контрагентов).
2.5. Перечень персональных данных, обрабатываемых Оператором и конфиденциальность персональных данных
2.5.1. Перечень персональных данных, обрабатываемых Оператором, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Оператора с учетом целей обработки персональных данных, указанных в разделе 2.3. Политики.
2.5.2. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
2.6. Оператор не производит трансграничную передачу персональных данных;
2.7. Функции Оператора при осуществлении обработки персональных данных
2.7.1. ООО ГК "ТриАР" при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
К таким мерам в соответствии с Федеральным законом № 152-ФЗ "О персональных данных" относятся:
— определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
— применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
— применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
— оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
— обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
— восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
2.8. Обработка персональных данных
Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
Обработка персональных данных ведется с использованием средств автоматизации и/или без использования средств автоматизации. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа. Персональные данные, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) в информационной системе персональных данных.
Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, прекращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
Оператор передает персональные данные третьим лицам в случаях, когда субъект выразил свое согласие на такие действия и/или передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.
3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1 Согласие субъекта персональных данных на обработку его персональных данных
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на Оператора.
3.2 Права субъекта персональных данных
Субъект персональных данных имеет право на получение у Оператора информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами.
Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных.
Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если Оператор не докажет, что такое согласие было получено. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в вышеуказанных целях. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.
Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований ФЗ-152 или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
4. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.
Правовая защита представляет собой комплекс правовых, организационнораспорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование системы защиты персональных данных.
Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры:
— назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
— ограничение состава лиц, имеющих доступ к персональным данным;
— организация учета, хранения и обращения носителей информации;
— определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
— восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— разработка на основе модели угроз системы защиты персональных данных;
— проверка готовности и эффективности использования средств защиты информации;
— разграничение доступа пользователей к информационным ресурсам и программноаппаратным средствам обработки информации;
— регистрация и учет действий пользователей информационных систем персональных данных; — использование антивирусных средств и средств восстановления системы защиты персональных данных;
— применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
— организация пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки персональных данных;
— проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных;
— иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.
4.2. Организация и осуществление внутреннего контроля за соблюдением отделами и подразделениями Оператора законодательства Российской Федерации и локальных нормативных актов в области персональных данных, в том числе требований к защите персональных данных, обеспечиваются лицом, ответственным за организацию обработки персональных данных у Оператора.
Персональная ответственность за соблюдение требований законодательства Российской Федерации и локальных нормативных актов Оператора в области персональных данных, а также за обеспечение конфиденциальности и безопасности персональных данных в отделах и подразделениях Оператора возлагается на их руководителей.
5. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Иные права и обязанности Оператора, как оператора персональных данных определяются законодательством Российской Федерации в области персональных данных. Должностные лица Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.