ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общие положения

Политика обработки персональных данных (далее по тексту просто Политика) была создана в соответствии с ФЗ от 27.07.2006. № 152 – ФЗ «О персональных данных» (далее по тексту просто ФЗ-152).

Цель данной Политики – задать порядок обработки персональных данных и предусмотреть меры по обеспечению безопасности персональных данных в ИП Сиренко Алексей Вадимович ИНН 601302820262, являющийся поставщиком услуг и оператором персональных данных (Приказ № 78 от 21.05.2019 Номер 39-19-001764) (далее по тексту - Оператор) с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных сведений, в том числе обеспечить защиту прав на неприкосновенность частной жизни, личной, а также семейной тайны.

Основные понятия используемые в Политике обработки персональных данных:

  • Автоматизированная обработка персональных данных – обработка персональных сведений выполняется с помощью средств для автоматической обработки информации (вычислительной техники);
  • Блокирование персональных данных – действия, направленные на осуществления временного прекращения обработки персональных сведений;
  • Информационная система персональных данных – это сумма содержащихся в базе персональных данных сведений, и производящих их обработку информационных технологий, и технических средств;
  • Обезличивание персональных данных – это совокупность действий, в результате которых становится невозможным выполнение такой задачи, как определение принадлежности персональных сведений к конкретному объекту персональных данных;
  • Обработка персональных данных – операция или сумма операций, которые совершаются с применением средств автоматизации или без использования рассматриваемых средств при работе с персональными сведениями. Включая такие операции, как сбор, запись, систематизацию, накопление, хранение, изменение, извлечение, передача персональных данных, а также уничтожение персональных сведений;
  • Оператор – юр. или физ. лицо, муниципальный или государственный орган, самостоятельно или совместно с другими лицами выполняет обработку персональных сведений, а также определяет состав персональной информации, подлежащей обработке;
  • Персональные данные – сведения, относящиеся к определённому физическому лицу;
  • Предоставление персональных данных – это действие или сумма действий, которые направлены на то, чтобы выполнить раскрытие персональных данных одному лицу или группе лиц;
  • Распространение персональных данных – действие или сумма действий, направленные на распространение персональной информации неопределённому кругу лиц;
  • Трансграничная передача персональных данных – передача персональной информации на территорию иностранного государства, власти иностранного государства, иностранному физ. или юр. лицу.
  • Уничтожение персональных данных – действия или сумма действий, которые подразумевают, что после их выполнения будет невозможно осуществить восстановление персональных данных в информационной системе и/или в результате которых будет уничтожен физический носитель, на котором размещены персональные данные.

2. Принципы и условия обработки персональных данных

2.1 Принципы обработки персональных данных

Выполнение обработки персональных данных субъектов осуществляется на основе следующих принципов:

  • Законности;
  • Обработка персональных данных должна ограничиваться достижением заранее спланированных законных целей;
  • Недопустима обработка персональных данных, если она несовместима с установленными целями сбора персональных данных;
  • Недопустимо производить объединение баз данных, содержащих персональные сведения, обработка которых выполняется в целях, которые не могут быть совместимы между собой;
  • Обрабатываются только те персональные данные, которые полностью и гарантированно отвечают целям обработки;
  • Содержание и объём персональных данных, которые подвергаются обработке должны соответствовать заявленным целям выполняемой обработке;
  • Недопустимо выполнение обработки персональных данных, которые избыточны по отношению к целям обработки персональных данных;
  • Уничтожение персональных данных по достижению целей их обработки или в случае, когда необходимость в достижении этих целей перестала присутствовать.

2.2 Условия обработки персональных данных

Оператор выполняет обработку персональных сведений, если присутствует хотя бы одно из представленных ниже условий:

  • Обработка персональных данных производится с разрешения субъекта персональных данных на обработку рассматриваемой информации;
  • Обработка персональных данных нужна для осуществления целей, которые были предусмотрены международным договором РФ или соответствующим законом, для выполнения установленных законодательством РФ на Оператора функций, полномочий, а также обязанностей;
  • Обработка персональных данных нужна для выполнения правосудия, а также приведение в действие судебного акта, акта другого должностного лица, которые должны подлежать выполнению в полном соответствии с законодательством РФ об исполнительном производстве;
  • Обработка персональных данных нужна для приведения в исполнение договора, стороной которого является либо заёмщик, либо поручитель, а также для того, чтобы произвести заключение договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет либо выгодоприобретателем, либо поручителем;
  • Обработка персональных данных необходима для соблюдения прав оператора или третьих лиц, но при это не должны нарушаться права субъекта персональных данных;
  • Производится обработка персональных сведений, доступ неограниченного числа лиц к которым предоставлен или субъектом персональных данных или это было сделано по его просьбе (далее по тексту – Общедоступные персональные данные);
  • Производится обработка персональных сведений, подлежащих раскрытию в полном соответствии с законодательством РФ.

2.3. Конфиденциальность персональных данных

Оператор, а также другие лица, которым был предоставлен доступ к персональным данным, обязаны не раскрывать полученные сведения третьим лицам, а также не осуществлять распространение персональных данных без предварительного согласия субъекта персональных данных, если иное не было предусмотрено ФЗ РФ.

2.4. Общедоступные источники персональных данных

В целях грамотного информационного обеспечения у Оператора могут быть созданы источники персональных сведений субъектов персональных данных, в их число могут быть включены такие источники, как справочники и адресные книги. Если было предоставлено письменное согласие субъекта персональных данных, то в общедоступные источники персональных сведений могут быть включены такие данные, как фамилия, имя, отчество, дата и место рождения, занимаемая должность, номер телефона, адрес электронной почты, а также другие персональные сведения, которые были предоставлены субъектом персональных данных.

Информация о субъекте персональных данных, должна быть в любое время исключена из источника предоставленных общедоступных персональных данных по требованию субъекта персональных данных, уполномоченного органа по организации защиты прав субъектов персональных сведений, а также по решению суда.

2.5. Специальные категории персональных данных

Оператором может производится обработка категорий специальных персональных данных таких как расовая и национальная принадлежность, политических взглядов, религиозных убеждений, а также других аспектов (состояние здоровья, сведения об интимной жизни и так далее), допускается только в определённых случаях таких как:

  • Субъектом персональных данных было предоставлено согласие в письменной форме на выполнение обработки его персональных данных;
  • Субъект персональных данных сделал свои персональные данные общедоступными;
  • Обработка персональных данных производится в полном соответствии с действующим законодательством РФ о государственной социальной помощи, трудовым законодательством, законодательством РФ о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
  • Обработка персональных данных требуется для проведения мер направленных на защиту жизни, здоровья, а также других важных сведений субъекта персональных данных, либо обработка персональных данных может выполняться если требуется обеспечить защиту жизни и здоровья и других важных интересов других лиц, но при этом получить согласие субъекта персональных данных не представляется возможным;
  • Обработка персональных данных может также выполняться для реализации медико-профилактических целей, например в целях установления медицинского диагноза, оказания услуг медицинских и медико-социального характера при соблюдении условия, что обработка персональных данных производится лицом, которое профессионально занимается медицинской деятельностью и обязанным в полном соответствии с законодательством РФ сохранять врачебную тайну;
  • Произвести обработку персональных данных также нужно для того, чтобы произвести установление или осуществление прав субъекта персональных данных или 3-х лиц, данное действие необходимо выполнить, когда требуется произвести осуществление правосудия;
  • Обработка персональных данных также может выполняться в полном соответствии со страховым законодательством и производится в полном соответствии с законодательством об обязательных видах страхования;
  • Обработка специальных категорий персональных данных, которая производилась в случаях, предусмотренных пунктом 4 статьи 10 ФЗ – 152 должна быть прекращена в обязательном порядке и немедленно, если факт по которому осуществлялась обработка персональных данных был устранён, если иное не предусмотрено федеральным законодательством;
  • Производить обработку персональных данных о судимости Оператор может исключительно в случаях и в порядке, которые были определены федеральными законами РФ.

2.6. Биометрические персональные данные

Сведения на основании которых можно произвести оценку физиологических и биологических особенностей человека и позволяющие произвести установку его личности, то есть биометрические персональные данные могут быть обработаны Оператором, только если субъект выразил своё согласие на обработку своих персональных данных в письменной форме.

2.7. Поручение обработки персональных данных другому лицу

У Оператора есть право поручить обработку персональных данных другому лицу, если на это выразил своё согласие субъект персональных данных, если иное не было предусмотрено федеральным законом, на основании заключаемого с данным лицом Договора. Лицо, которое осуществляет обработку персональных данных по поручению Оператора в обязательном порядке должно соблюдать принципы и правила обработки персональных данных, которые были предусмотрены ФЗ-152 и настоящей Политикой.

2.8. Обработка персональных данных граждан РФ

В полном соответствии со статьёй 2 ФЗ от 21 июля 2014 года № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» при осуществлении сбора персональных сведений, в том числе при выполнении данных операций посредством сети «Интернет» Оператор в обязательном порядке должен обеспечить выполнение следующих операций:

  • Запись;
  • Систематизация;
  • Накопление;
  • Хранение;
  • Изменение;
  • Извлечение персональных данных граждан РФ.

Данные операции выполняются с применением баз данных для граждан РФ находящихся на территории РФ за исключением таких случаев как:

  • Обработка персональных данных требуется для того, чтобы достигнуть целей, предусмотренных международным договором РФ или законом, для выполнения возложенных законом РФ на Оператора функций и обязанностей;
  • Обработка персональных данных нужна для того, чтобы выполнить требования связанных с осуществлением правосудия, исполнения судебного акта, акта должностного лица, подлежащих необходимому исполнению в полном соответствии с законодательством РФ об исполнительном производстве (далее по тексту – исполнение судебного акта);
  • Обработка персональных данных нужна для выполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов РФ, органов местного самоуправления и функций организаций, которые принимают активное участие в предоставлении государственных и муниципальных услуг, предусмотренных ФЗ от 27 июля 2010 года № 210 – ФЗ «Об организации предоставления государственных и муниципальных услуг», что включает регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг;
  • Если не нарушаются законные интересы субъекта персональных данных и обработка персональных сведений требуется для выполнения журналистом своей профессиональной деятельности, либо научной деятельности или творческой деятельности;

2.9. Трансграничная передача персональных данных

Прежде всего Оператор в обязательном порядке должен убедиться в том, что иностранным государством на территорию которого планируется произвести передачу персональных данных обеспечивается достойная и адекватная защита прав субъектов персональных данных, для начала выполнения данной передачи.

Трансграничная передача персональных данных на территории иностранных государств, которые не способны обеспечить адекватную защиту прав субъектов персональных данных, может производиться в случаях:

  • Наличия согласия субъекта персональных данных на осуществление трансграничной передаче его персональных данных;
  • Если субъект персональных данных является стороной исполнения Договора.

3. Права субъектов персональных данных

3.1  Согласие субъекта персональных данных на проведение обработки его персональных данных

Субъект персональных данных по собственной воле и преследуя собственные интересы предоставляет согласие на обработку его персональных данных. Согласие в котором предоставляется информация на обработку персональных данных субъекта может быть дано субъектом персональных данных или его представителем в любой форме, которая позволяет подтвердить факт его получения, если иная информация не установлена федеральным законом.

3.2  Права субъекта персональных данных

Субъект персональных данных обладает правом на то, чтобы получить у Оператора информацию, которая касается обработки его персональных данных, если данное право не ограниченно в соответствии с ФЗ. В случае необходимости субъект персональных данных вправе потребовать от Оператора уточнения его персональных данных, их блокировки или уничтожения в том ситуации, если рассматриваемые персональные данные являются либо неполными, либо устаревшими, а также если в них наблюдаются какие-либо неточности или персональные данные субъекта были незаконно получены или они не нужны для осуществления заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Обработка персональных данных для продвижения товаров и услуг возможна только с согласия субъекта персональных данных.

Оператор в обязательном порядке должен прекратить обработку персональных данных субъекта по требованию, если это необходимо субъекту для достижения вышеуказанных целей.

Запрещено принимать решения на основании исключительно автоматизированной обработки данных, которые способны породить юридические последствия в отношении субъекта персональных сведений или другим способом способные затронуть его права и законные интересы, исключая случаи, которые предусмотрены федеральными законами, или если есть согласие установленное в письменной форме субъекта персональных данных.

В том случае когда субъект персональных данных приходит к выводу, что Оператор производит обработку его персональных данных с какими-либо нарушениями требований ФЗ-152 или другим способом оказывает негативное воздействие на его права и свободы, субъект персональных данных имеет полное право обжаловать действия или же бездействия Оператора в Уполномоченный орган осуществляющий защиту прав субъектов персональных данных или в досудебном порядке.

Субъект персональных данных обладает правом на защиту своих прав, а также законных интересов, в том числе и на возмещение убытков.

4. Обеспечение безопасности персональных данных

Безопасность персональных данных, обработкой которых занимается Оператор, обеспечивается благодаря реализации правовых, организационных и технических мер, необходимых для того, чтобы обеспечить требования федерального законодательства в области защиты персональных данных.

Для исключения несанкционированного доступа к персональным данным Оператором используются следующие организационно-технические меры:

  • Назначение должностных лиц, несущих ответственность за организацию обработки, а также защиты персональных сведений;
  • Ограничение состава лиц, обладающих допуском к выполнению обработки персональных данных;
  • Проведение ознакомительных работ, направленных на получение информации о требованиях федерального законодательства и нормативных документов Оператора по проведению обработке и защиты персональных данных;
  • Организация таких мероприятий как учёт, хранение и обращение носителей, содержащих информацию, в которой содержаться персональные данные;
  • Определение угроз безопасности персональных данных при их обработке;
  • Надёжная защита персональных данных, разработанная на основе модели угроз системы защиты персональных данных;
  • Произвести оценку готовности, а также эффективности применения средств защиты информации;
  • Произвести разграничение обеспечением доступа пользователей к информационных ресурсам и программно – аппаратным средствам обработки информации;
  • Регистрация, а также учёт действий пользователей информационных систем персональных данных;
  • Применение антивирусных средств, а также средств обеспечивающих восстановление системы защиты персональных данных;
  • Применение в определённых случаях, когда этого требует ситуация средств межсетевого экранирования, обнаружения вторжений, анализа защищённости и средств криптографической защиты информации;
  • Создание пропускного режима на территорию Оператора, производить охрану помещений с техническими средствами обработки персональных данных.

5. Заключительные положения

Другие права, а также обязанности оператора в связи с выполняемой обработкой персональных данных определяются законодательством РФ в области персональных данных.

Работники Оператора, которые оказались виновны в нарушении норм, осуществляющих регулировку обработки и защиты персональных данных несут  материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, который установлен федеральными законами.