ПОЛИТИКА

ООО «Прогноз-РС» в отношении обработки персональных данных

 Общие положения

    • Настоящая Политика в отношении обработки персональных данных (далее — Политика) разработана в целях реализации требований пункта 2 части 1 статьи 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и действует в отношении всех персональных данных, которые организация получают от субъектов персональных данных.
    • Политика распространяет свое действие на ООО «Прогноз-РС» (далее – Организация).
    • Организация осуществляет обработку персональных данных субъектов персональных данных, руководствуясь:

Конституцией Российской Федерации;

Федеральным законом от 27 июня 2006 г. № 152-ФЗ «О персональных данных»;

Трудовым кодексом Российской Федерации;

           договорами, заключаемыми между Организацией и субъектами персональных данных;

          соглашениями о конфиденциальности;

          согласиями на обработку персональных данных.

  • Обработка персональных данных в Организации осуществляется в целях обеспечения соблюдения актов законодательства и иных нормативных правовых актов Российской Федерации; заключения, исполнения договоров и соглашений в рамках трудовых, гражданско-правовых и иных отношений.
  • Контроль за исполнением требований настоящей Политики осуществляется уполномоченными лицами.

Категории субъектов, персональные данные которых обрабатываются в Корпорации и организациях Корпорации

    • Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (далее — субъект персональных данных).
    • Категории субъектов персональных данных, персональные данные которых обрабатываются в Организации:

работники и бывшие работники Организации и их близкие родственники;

клиенты и контрагенты, в том числе потенциальные, (физические лица);     

представители/сотрудники клиентов и контрагентов, в том числе потенциальных (юридические лиц).

Принципы и условия обработки персональных данных

    • Обработка персональных данных в Организации осуществляется на основе принципов:

 законности и справедливости целей и способов обработки персональных данных, соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;

соответствия объема и характера обрабатываемых персональных данных целям обработки персональных данных;

 достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных избыточных по отношению к целям, заявленным при сборе персональных данных;

недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;

уничтожения персональных данных либо их обезличивания по достижении целей их обработки или в случае утраты необходимости в их достижении, если срок хранения персональных данных не установлен законодательством Российской Федерации, другими документами, определяющими такой срок.

  • Условия обработки персональных данных в Организации:

доступ к персональным данным имеют работники Организации, которым это необходимо для исполнения должностных обязанностей.

помещения, в которых обрабатываются персональные данные, должны быть оборудованы в соответствии с требованиями законодательства Российской Федерации и обеспечивать необходимый уровень защищенности, а также исключать риск несанкционированного доступа с целью хищения или неправомерного использования персональных данных;

для приема посетителей выделяются зоны ожидания, исключающие несанкционированный доступ к обрабатываемым персональным данным.

 

Права и обязанности

    • Обязанности Организации в качестве оператора персональных данных:

организовывать обработку персональных данных в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — Федеральный закон о персональных данных);

обеспечивать защиту персональных данных от их неправомерного использования или утраты;

получать персональные данные только у субъекта персональных данных. В случаях, когда персональные данные субъекта можно получить только у третьих лиц, делать это исключительно с письменного согласия субъекта персональных данных;

своевременно и в соответствии с требованиями законодательства Российской Федерации реагировать на обращения и запросы субъектов персональных данных и законных представителей, а именно:

сообщать субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными;

в случае отказа при обращении субъекта персональных данных или его представителя в предоставлении субъекту персональных данных его персональных данных или информации о наличии в Организации его персональных данных давать в письменной форме мотивированный ответ, содержащий ссылку на положение Федерального закона о персональных данных, являющееся основанием для такого отказа;

 предоставлять безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, а также по требованию субъекта персональных данных или его представителя вносить в них необходимые изменения и уничтожать, если они не являются необходимыми для заявленной цели обработки, и принимать разумные меры для уведомления третьих лиц об изменениях в персональных данных, которым персональные данные этого субъекта были переданы;

сообщать в уполномоченный орган по защите прав субъекта персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса;

устранять нарушения законодательства, допущенные при обработке персональных данных;

уточнять, блокировать и уничтожать персональные данные в случаях, предусмотренных частями 2 6 статьи 21 Федерального закона о персональных данных.

  • Права Организации в качестве оператора персональных данных:

принимать локальные нормативные акты в развитие настоящей Политики;

предлагать субъекту персональных данных оформить персональное письменное согласие на обработку/передачу персональных данных;

отказывать в предоставлении персональных данных в случаях, предусмотренных частью 6 статьи 14 и частью 2 статьи 20 Федерального закона о персональных данных;

привлекать к дисциплинарной ответственности работников Организации, к должностным обязанностям которых относится обработка персональных данных, за нарушение требований к защите персональных данных.

  • Права субъекта персональных данных:

получать информацию, касающуюся обработки его персональных данных в Организации, в том числе и об источниках их получения;

 требовать блокирования или уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, незаконно полученными или не являются необходимыми для заявленной цели обработки;

требовать извещения всех лиц, которым ранее были сообщены недостоверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

отзывать свое согласие на обработку персональных данных;

 Порядок обработки персональных данных

    • Обработка персональных данных в Организации производится в соответствии с требованиями законодательства Российской Федерации.
    • Обработка персональных данных в Организации включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
    • Обработка персональных данных субъектов персональных данных осуществляется как на бумажных носителях, так и с использованием средств автоматизации (с помощью средств вычислительной техники) путем:

получения оригиналов необходимых документов;

копирования оригиналов документов;

внесения сведений в учетные формы на бумажных и электронных носителях;

формирования персональных данных в ходе кадровой работы;

внесения персональных данных в информационные системы.

  • Сбор, запись, систематизация, накопление (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных, а в рамках выполнения требований законодательства о противодействии коррупции — путем получения справок о доходах и обязательствах имущественного характера
  • Обработка персональных данных при рассмотрении обращений граждан в Организацию осуществляется в соответствии с законодательством о порядке рассмотрения обращений граждан Российской Федерации.
  • Организация имеют право создавать в качестве источников персональных данных информационные системы, обрабатывающие персональные данные.
  • При передаче персональных данных субъекта персональных данных сотрудники Организации, осуществляющие обработку персональных данных, должны соблюдать следующие требования:

не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных Федеральным законом о персональных данных;

не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;

предупредить лица, получающих персональные данные субъекта персональных данных о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что правило соблюдено. Лица, получающие персональные данные субъекта персональных данных, обязаны соблюдать режим конфиденциальности;

разрешать доступ к персональным данным субъекта персональных данных только лицам, определенным соответствующим приказом Организации, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;

не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работниками трудовой функции;

передавать персональные данные субъекта персональных данных представителям субъекта персональных данных в порядке, установленном Трудовым кодексом Российской Федерации, и ограничить эту информацию только теми персональными данными субъекта персональных данных, которые необходимы для выполнения указанными представителями их функций.

  • Передача Организацией третьим лицам может допускаться только в случаях, установленных Федеральным законом о персональных данных.
  • Организация при обращении или по запросу субъекта персональных данных либо его представителя, а также по запросу Роскомнадзора инициируют блокировку неправомерно обрабатываемых персональных данных этого субъекта с момента обращения или получения запроса на период проверки. В случае выявления неправомерной обработки персональных данных в Организации, в срок, не превышающий трех рабочих дней с даты этого выявления, в Организации прекращают неправомерную обработку персональных данных или обеспечивают прекращение неправомерной обработки. В случае если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, такие персональные данные уничтожаются.
  • Организации на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений.
  • По достижении цели обработки персональных данных в Организации обработка персональных данных прекращается и эти персональные данные уничтожаются, за исключением случаев, предусмотренных законодательством Российской Федерации.
  • В случае отзыва субъектом персональных данных своего согласия на обработку персональных данных в Организации обработка прекращается в срок, не превышающий тридцати дней с даты поступления отзыва.
  • В Организации по запросу субъекта персональных данных или его представителя сообщают информацию о наличии персональных данных, относящихся к субъекту. По запросу субъекта персональных данных или его представителя в Организации знакомят субъекта персональных данных или его представителя с этими персональными данными в течение тридцати дней с даты получения запроса.
  • При сборе, обработке и хранении персональных данных хранение и защита персональных данных как на бумажных, так и на электронных (автоматизированных) носителях информации осуществляется в порядке, исключающем их утрату или их неправомерное использование.

Защита персональных данных

  • При обработке персональных данных в Организации принимают необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных.
  • В Организации назначается лицо, ответственное за организацию обработки персональных данных.

 Заключительные положения

  • Настоящая Политика является общедоступным документом Организации и распространяет свое действие на отношения по обработке персональных данных, возникшие как до, так и после утверждения настоящей Политики.
  • Настоящая Политика подлежит изменению в случае принятия нормативных актов, устанавливающих новые требования по обработке и защите персональных данных или внесения изменений в действующие нормативные правовые акты.
  • Персональные данные относятся к конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения, если иное не определено федеральным законом.
  • Лица, виновные в нарушении правил обработки персональных данных и требований к защите персональных данных работника, установленных действующим законодательством Российской Федерации и настоящей Политикой, несут ответственность, предусмотренную законодательством Российской Федерации.