Соглашение на обработку персональных данных
Настоящая Политика обработки персональных данных в ООО «Норма плюс» (далее - Политика) разработана в соответствии с требованиями нормативных правовых актов Российской Федерации, регулирующих процессы обработки персональных данных (далее - ПД). Политика определяет принципы обработки (сбора, хранения, передачи, уничтожения) и защиты ПД клиентов и работников ООО «Норма плюс» (далее -субъекты ПД).
Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению (обновлению, изменению), извлечению, использованию, передаче (предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению ПД, осуществляемые как с использованием средств автоматизации, так и без использования таких средств.
2. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Принципы и цели обработки ПД
Обработка персональных данных в Обществе должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Обработка ПД осуществляется на основе принципов:
• обработка на законной и справедливой основе;
• соблюдение законов и иных нормативных правовых актов, регламентирующих процессы обработки ПД;
• ограничение обработки ПД достижением конкретных, заранее определенных и законных целей;
• недопущение обработки ПД, несовместимой с целями сбора ПД;
• недопущение объединения баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой;
• ограничение избыточности обрабатываемых ПД заявленным целям обработки;
• обеспечение точности и достаточности, актуальности ПД по отношению к заявленным целям их обработки. Обработка ПД в Обществе осуществляется исключительно в следующих целях:
• исполнение обязательств по договору, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• заключение и исполнение иных договоров с контрагентами;
• содействие работникам в трудоустройстве, выполнении трудовых обязанностей, обучении и продвижении по карьере; • обеспечение личной безопасности работников, контроль количества и качества выполняемой работы; • обеспечение сохранности имущества Общества; • деятельность в области стандартизации и метрологии; • продвижение услуг путем осуществления прямых контактов с клиентами с помощью средств связи, направления рекламно-информационных сообщений; • осуществление других видов хозяйственной деятельности, не противоречащей законодательству Российской Федерации.
2.2. Сбор персональных данных
Сбор, накопление, хранение, изменение, использование и передача ПД осуществляется при условии наличия согласия субъекта ПД, за исключением случаев, когда в соответствии с действующим законодательством допускается обработка ПД без получения согласия субъекта ПД, а именно:
• обработка ПД необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия субъекта ПД невозможно;
• обработка ПД необходима для осуществления прав и законных интересов Общества или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПД;
• осуществляется обработка ПД, подлежащих опубликованию или обязательному раскрытию в соответствии с действующим законодательством.
2.3. Хранение персональных данных
Хранение ПД осуществляется в форме, позволяющей определить субъекта ПД не дольше, чем этого требуют соответствующие цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПД.
Обрабатываемые ПД подлежат уничтожению либо обезличиванию по достижении целей обработки, или в случае утраты необходимости в достижении этих целей. ПД субъектов могут обрабатываться как на бумажных носителях, так и в электронном виде.
2.4. Передача персональных данных третьим лицам
Общество вправе поручить обработку ПД третьему лицу с согласия субъекта ПД, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. При этом Общество в договоре обязует третье лицо, осуществляющее обработку ПД по поручению Общества, соблюдать принципы и правила обработки ПД, предусмотренные федеральным законом №152-ФЗ «О персональных данных» и другими нормативными правовыми актами, регламентирующим процессы обработки ПД.
В случае если Общество поручает обработку ПД третьему лицу, ответственность перед субъектом ПД за действия указанного лица несет Общество. Лицо, осуществляющее обработку ПД по поручению Общества, несет ответственность перед Обществом. Общество обязуется и обязует третьих лиц, получивших доступ к ПД, не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено законом.
2.5. Уничтожение персональных данных
В случае достижения целей обработки ПД – Общество прекращает обработку ПД и уничтожает ПД, в срок, не превышающий тридцати дней с даты достижения цели обработки ПД, если иное не предусмотрено соглашением между Обществом и субъектом персональных данных.
В случае обращения субъекта ПД с заявлением об уничтожении его персональных данных, Общество обязано прекратить обработку или обеспечить прекращение обработки персональных данных данного субъекта и уничтожить указанные в заявлении персональные данные. Уничтожение ПД производится в соответствии с внутренними процессами Общества.
2.6. Защита персональных данных
При обработке ПД Общество принимает необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД.
Обеспечение безопасности ПД достигается, в частности:
• определением угроз безопасности ПД при их обработке в информационных системах персональных данных (далее ИСПД);
• применением организационных и технических мер по обеспечению безопасности ПД при их обработке в ИСПД, необходимых для выполнения требований к защите ПД, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПД;
• оценкой эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию ИСПД;
• обнаружением фактов несанкционированного доступа к ПД и принятием необходимых мер;
• восстановлением ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установлением правил доступа к ПД, обрабатываемых в ИСПД, а также обеспечением регистрации доступа к ПД в ИСПД;
• контролем за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности ИСПД; • в том числе другими способами.
2.7. Правовые основания обработки персональных данных
Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных:
• статья 13 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
• статьями 86 – 90 Трудового кодекса Российской Федерации от 30.12.2001 N 197-ФЗ;
• уставные документы Общества;
• договоры, заключаемые между Обществом и субъектом персональных данных;
• согласие на обработку персональных данных.
2.8. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
К категориям субъектов персональных данных могут быть отнесены:
• представители/работники клиентов и контрагентов Общества (юридических лиц);
• клиенты и контрагенты Общества;
• работники Общества. В рамках категорий субъектов и применительно к конкретным целям случаи обработки специальных и биометрических персональных данных:
• специальные категории персональных данных – сведения о состоянии здоровья;
• биометрические персональные данные - фотографии сотрудников.
2.9. Порядок и условия обработки персональных данных
Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, обезличивание, удаление, блокирование, уничтожение.
Обработка вышеуказанных персональных данных может осуществляться путем смешанной обработки с передачей по внутренней сети юридического лица с передачей по сети Интернет.
Передача персональных данных третьим лицам осуществляться только на основании договора, условием которого является обязанность обеспечения третьим лицом безопасности персональных данных при их обработке (в том числе конфиденциальности персональных данных), а также меры, предусмотренные ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных».
Условия прекращения обработки персональных данных:
• достижение целей обработки персональных данных;
• истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных;
• реорганизация или ликвидация Общества,
• Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
При осуществлении хранения персональных данных Общество использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона "О персональных данных".
2.10. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации (исправлению) Обществом.
При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
Общество обязано сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.
3. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
Общество обеспечивает конфиденциальность персональных данных, то есть не допускает их распространения без согласия субъекта персональных данных или наличия иного законного основания. Обеспечение конфиденциальности обезличенных и общедоступных персональных данных осуществляется аналогично обеспечению конфиденциальности иных данных, обрабатываемых в Обществе.
3.1. Организация доступа к информации, содержащей персональные данные
Доступ к ПД предоставляется только тем работникам Общества, которым он необходим для исполнения их непосредственных должностных обязанностей.
Допуск работников Общества к обработке ПД осуществляется на основании утвержденного Перечня должностей работников, допущенных к обработке ПД, обрабатываемых в Обществе.
Работник Общества допускается к обработке ПД только в случае выполнения своих трудовых обязанностей. Работник Общества допускается к обработке ПД только после ознакомления с действующими нормативными правовыми актами, регламентирующими обработку ПД, локальными нормативными актами Общества, регламентирующими обработку ПД.
3.2. Организация доступа субъектов персональных данных к своим персональным данным
Общество обеспечивает доступ субъектов ПД к принадлежащим им ПД. Для получения такого доступа субъекту ПД необходимо направить в Общество письменный запрос по форме, приведенной в Приложении № 1. Общество осуществляет предоставление ПД обратившегося субъекта в доступной для субъекта форме.
В соответствии с Федеральным законом № 152-ФЗ «О персональных данных» субъект ПД имеет право:
• Получить сведения касающиеся обработки ПД Обществом, а именно:
• Потребовать от Общества уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• Отозвать согласие на обработку ПД в предусмотренных действующим законодательством случаях.
4. ОТВЕТСТВЕННОСТЬ
Работники Общества, виновные в нарушении нормативных правовых актов и локальных нормативных актов Общества, регулирующих процессы обработки и защиты ПД, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной, уголовной ответственности в порядке, установленном действующим законодательством.
Приложение № 1.
Форма запроса на предоставление информации об обработке персональных данных
Директору ООО «Норма плюс» ___________________________
Запрос на предоставление информации об обработке персональных данных
От ________________________________________________________________________ (фамилия, имя, отчество) паспорт _______________________ выданный ________________________________ (серия, номер) (дата выдачи) ___________________________________________________________ (кем выдан) адрес: ___________________________________________________________________ (адрес места жительства) Основания, по которым лицо выступает в качестве законного представителя субъекта персональных данных: ____________________________________________ Сведения, подтверждающие факт обработки персональных данных в ООО «Норма плюс»: _____________________________________________________________________________________ В соответствии со ст. 14 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» прошу предоставить следующую информацию, касающуюся обработки моих персональных данных: _____________________________________________________________________________ ___________________________________________________________________________________________ _______________________________________________________________________________ _____________________________________________________________________________________ (указать запрашиваемые сведения) Данный запрос является первичным / повторным, на основании того, что: ____________________________________________________________________________ (указать причину направления повторного запроса) Указанные сведения прошу предоставить по адресу: ______________________________________________________________________________ ________________ ____________________________________________________________________.