ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Общество с ограниченной ответственностью ООО "Сакура"

Утвержден приказом ООО "Сакура"№ 117 от 23.03.2022 г.

 

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. С целью обеспечения выполнения норм Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» и Трудового кодекса Российской Федерации ООО "Сакура" (далее - Оператор) считает важнейшей задачей обеспечение легитимности обработки и безопасности персональных данных в деятельности Оператора.

Для решения данной задачи у Оператора введена, функционирует и проходит периодический пересмотр (контроль) система защиты ПД.

Политика обработки персональных данных (далее — Политика) распространяется на любую обработку персональных данных Оператором, организованную как до, так и после ввода в действие настоящей Политики.

Настоящая политика применяется также ко всей информации, которую Оператор о может получить о посетителях веб-сайта https://sacura.ru.

1.2. Термины и определения.

АВТОМАТИЗИРОВАННАЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ – обработка персональных данных с помощью средств вычислительной техники [Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»].

БЛОКИРОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) [Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»].

ИНФОРМАЦИОННАЯ СИСТЕМА ПЕРСОНАЛЬНЫХ ДАННЫХ – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств [Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»].

ИНФОРМАЦИЯ – сведения (сообщения, данные) независимо от формы их представления [Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»].

КОНТРАГЕНТ – любое российское или иностранное юридическое или физическое лицо, с которым Оператор вступает в договорные отношения, за исключением трудовых отношений.

КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

НЕАВТОМАТИЗИРОВАННАЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлечённых из такой системы, осуществляемая при непосредственном участии человека.

Примечание: Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

ОБЕЗЛИЧИВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных [Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»].

ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение,

использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных [Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»].

ПЕРСОНАЛЬНЫЕ ДАННЫЕ – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных) [Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»].

ПРЕДОСТАВЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц [Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»].

РАБОТНИК – физическое лицо, вступившее в трудовые отношения с работодателем [ст.20 ТК Российской Федерации].

РАСПРОСТРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ – действия, направленные на раскрытие персональных данных неопределённому кругу лиц [Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»].

СМЕШАННАЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ – обработка персональных данных, включающая как автоматизированную, так и неавтоматизированную обработку персональных данных.

СУБЪЕКТ ПЕРСОНАЛЬНЫХ ДАННЫХ – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.

УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных [Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»].

1.3. Принципы обработки ПД.

обработка персональных данных осуществляется на законной и справедливой основе;

обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;

не допускается обработка персональных данных, несовместимая с целями сбора персональных данных; 

не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

обработке подлежат только персональные данные, которые отвечают целям их обработки;

содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки.

Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;

при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных, принимаются необходимые меры по удалению или уточнению неполных, или неточных персональных данных;

хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных,  если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;

обработка персональных данных не используется в целях причинения имущественного и/или морального вреда субъектам ПД, затруднения реализации их прав и свобод.

 

2. ЦЕЛИ ОБРАБОТКИ ПД

2.1 Обработка персональных данных субъектов персональных данных оператором осуществляется в целях:

·        обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации;

·        осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на оператора, в том числе по предоставлению персональных данных, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;

·        регулирования трудовых отношений с работниками оператора (содействие работникам и кандидатам в трудоустройстве, обучении, оценке, контроль количества и качества выполняемой работы, соблюдение положений трудового законодательства Российской Федерации и иных актов, содержащих нормы трудового права);

·        предоставления работникам оператора дополнительных гарантий и компенсаций, льгот, медицинского обслуживания и других видов социального обеспечения;

·        защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;

·        подготовки, заключения, исполнения и прекращения договоров с контрагентами;

·        исполнения или заключения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору;

·        обеспечения пропускного и внутриобъектового режимов на объектах оператора;

·        формирования справочных материалов для внутреннего информационного обеспечения деятельности оператора и его филиалов и представительств;

·         исполнения судебных актов, актов других органов или должностных лиц, подлежащих

исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

·         осуществления прав и законных интересов оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными документами, или третьих лиц, либо достижения общественно значимых целей;

·         в иных законных целях.

 

3. ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ ОПЕРАТОРОМ

Перечень персональных данных, обрабатываемых Оператором, определяется в соответствии с законодательством Российской Федерации о персональных данных и конкретизируется в локальных нормативных документах оператора в соответствии с целями обработки персональных данных, установленных в п. 2  настоящей Политики.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни оператором не осуществляется.

 

4. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ОПЕРАТОРОМ

Обработка персональных данных оператором осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.

Оператор без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Российской Федерации.

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии с законодательством Российской Федерации о персональных данных.

В целях внутреннего информационного обеспечения оператор может создавать общедоступные внутренние справочные материалы, в которые с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, номер телефона, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.

 

 

5. ТРЕБОВАНИЯ К СРОКАМ ОБРАБОТКИ, ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

Требования к срокам обработки персональных данных субъектов персональных данных, обрабатываемых в Компании, определяются внутренними документами Компании в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Сроки обработки персональных данных устанавливаются в согласии на обработку персональных данных субъекта персональных данных.

Обработка персональных данных без согласия субъекта возможна только в установленных

законом случаях.

Обработка персональных данных начинается не ранее возникновения правовых оснований обработки персональных данных.

Обработка персональных данных прекращается при достижении целей обработки, утрате правовых оснований обработки, установленных законодательством Российской Федерации, отзыве согласия на обработку персональных данных субъектом персональных данных.

По истечении срока обработки персональные данные уничтожаются или обезличиваются для использования в статистических или иных исследовательских целях.

 

6. СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обработка персональных данных оператором осуществляется следующими способами:

·      неавтоматизированная обработка персональных данных;

·      автоматизированная обработка персональных данных;

·      смешанная обработка персональных данных.

Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлечённых из такой системы считается осуществлённой без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

 

7. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И

ОПЕРАТОРА

Субъекты персональных данных, персональные данные которых обрабатываются Оператором,

имеют право на:

·     получение полной информации об обработке оператором его персональных данных;

·     уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

·      отзыв согласия на обработку персональных данных;

·      обжалование действия или бездействия оператора, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;

·      защиту своих прав и законных интересов, в том числе на возмещение убытков и / или компенсацию морального вреда в судебном порядке;

·      осуществление иных прав, предусмотренных законодательством Российской Федерации

о персональных данных.

Оператор вправе:

·      получать документы, содержащие персональные данные от субъектов персональных

данных либо от представителей субъекта персональных данных;

·     требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных;

·      в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных, оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, установленных законодательством Российской Федерации.

Оператор обязан:

·     осуществлять обработку персональных данных субъектов с соблюдением принципов и правил, предусмотренных действующим законодательством Российской Федерации о персональных данных и внутренними документами оператора в области обработки персональных данных;

·      сообщать субъекту персональных данных или его законному представителю по его запросу информацию о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных;

·     уведомлять субъектов персональных данных до начала обработки их персональных

данных в случаях, если персональные данные получены не от субъекта персональных

данных;

·     безвозмездно предоставить возможность ознакомления субъекта персональных данных или его законного представителя с персональными данными субъекта персональных данных при получении соответствующего запроса;

·     принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его либо его законного представителя обращением с законными и обоснованными требованиями.

 

8. МЕРЫ, ПРИНИМАЕМЫЕ ОПЕРАТОРОМ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ

ДАННЫХ

Оператор принимает следующие меры, необходимые для обеспечения выполнения обязанностей оператора, предусмотренных законодательством Российской Федерации о персональных данных, включая, но не ограничиваясь:

·      назначение лица, ответственного за организацию обработки персональных данных в Компании;

·     принятие локальных нормативных документов, регулирующих вопросы обработки и защиты персональных данных;

·     публикация настоящей Политики на своём официальном сайте, обеспечивая неограниченный доступ к ней, а также к сведениям о реализуемых требованиях к защите;

·     применение правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

·      осуществление внутреннего контроля соответствия обработки персональных данных законодательству Российской Федерации о персональных данных, требованиям к защите персональных данных, настоящей Политике, локальным нормативным документам;

·     оценка вреда, который может быть причинён субъектам персональных данных в случае нарушения оператором законодательства Российской Федерации о персональных данных и, исходя из указанной оценки, принятие решения о перечне мер, необходимых для обеспечения безопасности персональных данных;

·     ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и локальных нормативных документов оператора о персональных данных, в том числе с требованиями к защите персональных данных, и обучение указанных работников;

·      при обработке персональных данных, осуществляемой без использования средств автоматизации, выполнение требований, установленных постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

·     уведомление в установленных законодательством Российской Федерации о персональных данных случаях уполномоченного органа по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных;

·     осуществление обезличивания персональных данных, обрабатываемых в информационных системах персональных данных, а также прекращение обработки и уничтожение персональных данных в случаях, предусмотренных законодательством Российской Федерации о персональных данных;

·     при обработке персональных данных, осуществляемой в информационных системах персональных данных, выполнение требований, утвержденных постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах;

·     применение иных мер, предусмотренных законодательством Российской Федерации о персональных данных.

9. ССЫЛКИ

1. Конституция Российской Федерации.

2. Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ.

3. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

4. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

5. Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

6. Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».