Политика по обработке персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

2. ЦЕЛИ В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

3. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1 ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.2 СБОР ПЕРСОНАЛЬНЫХ ДАННЫХ

3.3 ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.4 ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ

3.5 ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.6 УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.7 ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

4. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

4.1 ОБЩИЕ ПОЛОЖЕНИЯ

4.2 ОРГАНИЗАЦИЯ ВНУТРЕННЕГО ДОСТУПА РАБОТНИКОВ К ПЕРСОНАЛЬНЫМ ДАННЫМ

4.3 ОРГАНИЗАЦИЯ ДОСТУПА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ К СВОИМ ПЕРСОНАЛЬНЫМ ДАННЫМ

5. ОТВЕТСТВЕННОСТЬ

1. ОБЩИЕ ПОЛОЖЕНИЯ

Настоящая Политика обработки персональных данных (далее – Политика) Общества с ограниченной ответственностью «Кабутек» (далее – Компания) разработана в соответствии с требованиями нормативно-правовых актов Российской Федерации, регулирующих отношения, связанные с обработкой персональных данных (далее – ПДн). Политика определяет принципы сбора, обработки, хранения, передачи и защиты ПДн физических лиц (далее – субъекты ПДн), реализуемые в Компании.

Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению ПДн, осуществляемых как с использованием средств автоматизации, так и без использования таких средств Компанией для своих целей и целей Клиентов Компании.

2. ЦЕЛИ В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Компания осуществляет обработку персональных данных в целях осуществления деятельности Компании согласно законодательству Российской Федерации и Уставу Компании.

Важнейшими целями Компании в области защиты персональных данных являются:

  • соответствие требованиям законодательства Российской Федерации и договорным обязательствам в части защиты персональных данных при оказании услуг;
  • обеспечение конфиденциальности, целостности и доступности персональных данных;
  • применение адекватных мер по защите от угроз в отношении персональных данных;
  • предотвращение и (или) снижение ущерба от реализации угроз в отношении персональных данных.

3. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1 ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Основные принципы обработки персональных данных Компании:

  • обработка персональных данных должна осуществляться на законной и справедливой основе;
  • обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
  • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только персональные данные, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
  • при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор (Компания) должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
  • хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.2 СБОР ПЕРСОНАЛЬНЫХ ДАННЫХ

Сбор, накопление, хранение, изменение, использование и передача персональных данных осуществляется при условии наличия согласия субъекта персональных данных. Исключение составляют случаи, когда в соответствии с действующим законодательством допускается обработка персональных данных без получения согласия субъекта ПДн, а именно:

  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
  • обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
  • обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
  • осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе;
  • осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Где применимо, Компания обрабатывает персональные данные на основании поручения Клиентов Компании на обработку персональных данных Компанией в соответствии с п.3 и 4 ст.6 Федерального закона “О персональных данных” №152-ФЗ.

3.3 ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют соответствующие цели обработки ПДн в соответствии с законодательством Российской Федерации. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки, или в случае утраты необходимости в достижении этих целей.

ПДн субъектов могут быть получены, проходить дальнейшую обработку и передаваться как на бумажных носителях, так и в электронном виде.

ПДн на бумажных носителях, должны храниться в запираемых шкафах или сейфах структурных подразделений, осуществляющих обработку персональных данных.

ПДн субъектов в электронном виде обрабатываются в компьютерных сетях Компании.

3.4 ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ

Компания обязуется и обязует иных лиц, получивших доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законом.

3.5 ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

Трансграничная передача ПДн не осуществляется.

3.6 УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

В случае достижения цели обработки персональных данных или по требованию Клиента Компания обязана прекратить обработку ПДн, если иное не предусмотрено договором между Компанией и субъектом персональных данных или Клиентом (далее — договорные отношения).

В случае отзыва субъектом ПДн согласия на обработку своих ПДн ООО «Кабутек» обязана прекратить их обработку, если иное не предусмотрено соответствующими договорными отношениями, либо если ООО «Кабутек» вправе осуществлять дальнейшую обработку ПДн без согласия субъекта ПД на основаниях, предусмотренных Федеральным законом “О персональных данных” №152-ФЗ или другими федеральными законами.

В случае выявления неправомерной обработки ПДн Компания должна предпринять меры по уничтожению этих ПДн в срок, не превышающий семи рабочих дней со дня выявления неправомерной обработки ПДн.

В случае отсутствия возможности уничтожения ПДн в течение указанного срока, Компании необходимо осуществить блокирование таких ПДн и их уничтожение ПДн в срок, не превышающий 6 месяцев со дня выявления неправомерной обработки ПДн, если иной срок не установлен федеральным законодательством.

В случае, если уничтожение ПДн было произведено по результатам обработки обращения субъекта ПДн и (или) запроса уполномоченного органа по защите прав субъектов ПДн, о предпринятых действиях Компания обязана уведомить субъекта персональных данных, соответствующего Клиента и (или) уполномоченный орган по защите прав субъектов персональных данных.

Персональные данные на бумажных носителях уничтожаются с помощью средств, гарантирующих невозможность восстановления носителя или посредством вычеркивания (вымарывания и т.п.) ПДн.

Уничтожение информации с машиночитаемых носителей ПДн, пришедших в негодность или утративших практическую ценность, должно производиться способом, исключающим возможность использования и восстановления информации.

Уничтожение персональных данных должно производиться в соответствии с актуальными внутренними процессами Компании.

3.7 ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

При обработке ПДн Компании необходимо принимать правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

Обеспечение безопасности ПДн должно достигаться, в частности:

  • определением угроз безопасности ПДн при их обработке в информационных системах персональных данных (далее – ИСПДн);
  • оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
  • обнаружением фактов несанкционированного доступа к ПДн и принятием необходимых мер;
  • установлением правил доступа к ПДн, обрабатываемых в ИСПДн, а также обеспечением регистрации доступа к ПДн в ИСПДн;
  • контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.

Где необходимо, Компания должна учитывать требования к организационным и техническим мерам для защиты персональных данных Клиентов в отношении операций по обработки, которые были поручены соответствующими Клиентами.

4. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

4.1 ОБЩИЕ ПОЛОЖЕНИЯ

Компании необходимо обеспечивать конфиденциальность ПДн, то есть не допускать их распространения без наличия законного основания.

4.2 ОРГАНИЗАЦИЯ ВНУТРЕННЕГО ДОСТУПА РАБОТНИКОВ К ПЕРСОНАЛЬНЫМ ДАННЫМ

В рамках данной Политики под внутренним доступом понимается доступ к ПДн, предоставляемый работникам Компании.

Доступ к ПДн необходимо предоставлять только тем работникам, которым ПДн необходимы для исполнения их непосредственных должностных обязанностей.

Такой допуск работников требуется осуществлять на основании утвержденного перечня работников структурных подразделений, допущенных к работе с ПДн. Работник должен допускаться к обработке персональных данных только в рамках тех задач, которые он обязан осуществлять для поддержания бизнес-процессов Компании.

Работник должен допускаться к обработке ПДн только после ознакомления с внутренними нормативными документами Компании, регламентирующими обработку ПДн, под роспись в специальных Листах ознакомления, а также после подписания обязательств о неразглашении персональных данных.

4.3 ОРГАНИЗАЦИЯ ДОСТУПА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ К СВОИМ ПЕРСОНАЛЬНЫМ ДАННЫМ

Компания обязана обеспечивать доступ субъектов персональных данных к принадлежащим им персональных данных. Для получения такого доступа субъекту ПДн необходимо направить в ООО «Кабутек» письменный запрос на адрес: 197110, г. Санкт-Петербург, ул. Большая Разночинная, д. 14, литера А, пом. № 506 А, в ООО «Кабутек». ООО «Кабутек» осуществляет предоставление ПДн обратившегося субъекта в доступной для субъекта форме, и с обеспечением отсутствия в них ПДн, относящихся к другим субъектам.

В соответствии с Федеральным законом “О персональных данных” №152-ФЗ субъект персональных данных имеет право:

  • Получить сведения касающиеся обработки персональных данных Компанией, если такая обработка не выполняется по поручению Клиентом, а именно:
    • подтверждение факта обработки персональных данных субъекта ПДн;
    • правовые основания и цели обработки персональных данных субъекта ПДн;
    • цели и применяемые способы обработки персональных данных субъекта ПДн;
    • наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным субъекта ПДн или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
    • обрабатываемые персональные данные, относящиеся к субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
    • сроки обработки персональных данных субъекта ПДн, в том числе сроки их хранения;
    • порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
    • информацию об осуществленной или о предполагаемой трансграничной передаче данных субъекта ПДн;
  • Если обработка персональных данные субъекта была поручена, субъект персональных данных имеет право получить следующую информацию:
    • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных субъекта ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу.
  • Потребовать от Компании уточнения своих персональных данных, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • Заявить возражение против принятия в отношении себя решений, порождающих юридические последствия на основе исключительно автоматизированной обработки ПДн;
  • Потребовать исключения своих ПДн из общедоступных источников персональных данных (при их наличии);
  • Отозвать согласие на обработку ПДн в предусмотренных Федеральный законом “О персональных данных” №152-ФЗ случаях.

5. ОТВЕТСТВЕННОСТЬ

Компания несет ответственность за защиту ПДн субъектов ПДн. Если Клиент Компании поручает обработку персональных данных Компании, ответственность перед субъектом персональных данных за действия Компании несет Клиент. Компания несет ответственность перед Клиентом. 

Компания обязуется не разглашать персональные данные и не использовать их, кроме как в целях исполнения обязательств при оказании услуг и других целей, не противоречащих законодательству Российской Федерации.

За предоставление неполных, неточных или неактуальных сведений субъектом ПДн Компания ответственности не несет.

При нарушении Компанией норм, регулирующих получение, обработку и защиту ПДн, работники Компании несут ответственность в соответствии с законодательством Российской Федерации.

Обновлено: 25.04.2022