Общие положения
Настоящая Политика в отношении обработки ПДн (далее – «Политика») подготовлена в соответствии с п. 2 ч .1 ст. 18.1 Федерального закона Российской Федерации «О персональных данных» N 152-ФЗ от 27 июля 2006 года (далее – «152-ФЗ») и определяет позицию ООО «4х4 УК» (далее – «Компания») в области обработки и защиты персональных данных (далее – «ПДн»), соблюдения прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну.
Область применения
- Понимая важность и ценность ПДн, а также заботясь о соблюдении конституционных прав граждан Российской Федерации, Компания обеспечивает надежную их защиту.
- Под безопасностью ПДн Компания понимает защищенность ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн и принимает необходимые правовые, организационные и технические меры для защиты ПДн.
- Обработка и обеспечение безопасности ПДн в Компании осуществляется в соответствии с требованиями Конституции Российской Федерации, 152-ФЗ, Трудового кодекса РФ и других подзаконных актов и федеральных законов РФ, определяющих случаи и особенности обработки ПДн.
- Субъектами ПДн, обработка ПДн которых осуществляется Компанией, являются:
- Работники Компании, с которыми заключен трудовой договор или договор подряда;
- Кандидаты на замещение вакантных должностей в Компании;
- Клиенты Компании.
- Обработка ПДн субъектов ПДн осуществляется Компанией в целях:
- соблюдения специальных обязательств и прав Компании в области трудового законодательства РФ, в том числе регулирующего отношения в сфере пенсионного обеспечения работников, их социального и иных видов страхования, соблюдения требований налогового и иного применимого законодательства;
- содействия работникам в трудоустройстве, обучении и продвижении по службе;
- обеспечения личной безопасности работников и сохранности имущества Компании;
- осуществления деятельности по контролю за количеством и качеством выполняемой работниками работы;
- оформления полисов добровольного медицинского страхования для работников;
- исполнение обязательств по договорам, заключенным Компанией с третьими лицами.
- При обработке ПДн Компания придерживается следующих принципов:
- обработка ПДн осуществляется на законной и справедливой основе;
- ПДн не раскрываются третьим лицам и не распространяются без согласия субъекта ПДн (если иное не предусмотрено законодательством Российской Федерации);
- определены конкретные законные цели до начала обработки ПДн;
- ведется обработка только тех ПДн, которые являются необходимыми и достаточными для заявленной цели обработки;
- обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей; уничтожение либо обезличивание ПДн по достижению целей обработки или в случае утраты необходимости в достижении целей.
- В случаях, установленных законодательством Российской Федерации, Компания осуществляет передачу ПДн третьим лицам (федеральной налоговой службе, государственному пенсионному фонду и др.).
- Во время посещения веб-сайтов нашей Компании, осуществляется автоматический сбор данных доступа (например, IP-адрес, тип используемого веб-браузера и операционной системы, дата и времени посещения веб-сайта). Эта информация может анализироваться в обезличенном виде для оптимизации посещаемости и развития веб-сайтов Компании.
- На веб сайтах Компании используются «сookies» — текстовые файлы, которые сохраняются на компьютере посетителя веб-сайта и позволяют выполнять анализ посещения.
- Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных.
- Лица, осуществляющие обработку ПДн по поручению Компании, обязуются соблюдать принципы и правила обработки и защиты ПДн, предусмотренные 152-ФЗ. При заключении договора с третьим лицом в обязательном порядке определяются перечень действий (операций) с Данными, которые будут совершаться третьим лицом, осуществляющим обработку ПДн, цели обработки, а также устанавливается обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность ПДн при их обработке и предусматриваются требования к защите обрабатываемых ПДн.
Права и обязанности субъектов ПДн, а также Компании в части обработки ПДн
- Работник, ПДн которого обрабатываются Компанией, имеет право:
- получать от Компании:
- подтверждение факта обработки ПДн и сведения о наличии ПДн, относящихся к соответствующему субъекту ПДн;
- сведения о правовых основаниях и целях обработки ПДн;
- сведения о применяемых способах обработки ПДн;
- сведения о наименовании и местонахождении Компании;
- сведения о лицах, которые имеют доступ к Данным или которым могут быть раскрыты ПДн на основании договора с Компанией или на основании федеральных законов;
- перечень обрабатываемых ПДн, относящихся к субъекту ПДн, и информацию об источнике их получения, если иной порядок предоставления таких ПДн не предусмотрен федеральными законами;
- сведения о сроках обработки ПДн, в том числе о сроках их хранения;
- сведения о порядке осуществления субъектом ПДн прав, предусмотренных 152-ФЗ;
- информацию об осуществляемой или о предполагаемой трансграничной передаче ПДн;
- наименование и адрес лиц, осуществляющих обработку ПДн по поручению Компании;
- иные сведения, предусмотренные 152-ФЗ или другими нормативно-правовыми актами Российской Федерации;
- требовать от Компании:
- уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отозвать свое согласие на обработку ПДн;
- требовать устранения неправомерных действий Компании в отношении его ПДн;
- обжаловать действия или бездействие Компании в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если субъект ПДн считает, что Компания осуществляет обработку его ПДн с нарушением требований 152-ФЗ или иным образом нарушает его права и свободы;
- возмещения убытков и/или компенсацию морального вреда в судебном порядке для защиты своих прав и законных интересов.
- Компания в процессе обработки ПДн обязуется:
- предоставить субъекту ПДн по его просьбе информацию, предусмотренную частью 7 статьи 14 152-ФЗ;
- разъяснить субъекту ПДн последствия отказа предоставить ПДн, если предоставление ПДн является обязательным в соответствии с федеральным законом;
- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн;
- предоставить субъектам ПДн и/или их представителям безвозмездно возможность ознакомления с Данными при обращении с соответствующим запросом в течение 30 дней с даты получения подобного запроса;
- предоставить субъектам ПДн мотивированный ответ со ссылкой на 152-ФЗ или иной федеральный закон, являющейся основанием для отказа в предоставлении ПДн по запросу;
- осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) с момента обращения или получения запроса на период проверки, в случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекту ПДн или его представителя, либо уполномоченного органа по защите прав субъектов ПДн;
- уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) в течение 7 рабочих дней со дня представления сведений и снять блокирование ПДн, в случае подтверждения факта неточности ПДн на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн;
- прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Компании, в случае выявления неправомерной обработки ПДн, осуществляемой Компанией или лицом, действующим на основании договора с Компанией, в срок, не превышающий 3 рабочих дней с даты этого выявления;
- прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по договору с Компанией) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по договору с Компанией) в срок, не превышающий 30 дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, в случае достижения цели обработки ПДн;
- прекратить обработку ПДн или обеспечить ее прекращение и уничтожить ПДн или обеспечить их уничтожение в случае отзыва субъектом ПДн согласия на обработку ПДн, если Компания не вправе осуществлять обработку ПДн без согласия субъекта ПДн.
Меры по защите
- Компания при обработке ПДн принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
- К таким мерам в соответствии с 152-ФЗ, в частности, относятся:
- В Компании назначен ответственный за обработку ПДн;
- Определены угрозы безопасности ПДн при их обработке в информационных системах ПДн;
- Применяются организационные и технические меры по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимые для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
- Применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации;
- Проведена оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;
- Ведется учет машинных носителей ПДн;
- Контролируются факты несанкционированного доступа к ПДн и принимаются меры по недопущению подобных инцидентов в дальнейшем;
- Организована возможность восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- Установлены правила доступа к персональным данным, обрабатываемым в информационной системе ПДн, а также обеспечивается регистрации и учет всех действий, совершаемых с персональными данными в информационной системе ПДн;
- Ведется контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности информационных систем ПДн.
Порядок получения разъяснений по вопросам обработки ПДн
- Лица, чьи ПДн обрабатываются Компанией, могут получить разъяснения по вопросам обработки своих ПДн, обратившись лично в Компанию или направив соответствующий письменный запрос по адресу местонахождения Компании: 117587, г. Москва, Варшавское шоссе, 125Ж, корп.6.
- В случае направления официального запроса в Компанию в тексте запроса необходимо указать:
- фамилию, имя, отчество субъекта ПДн или его представителя;
- номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие наличие у субъекта ПДн отношений с Компанией;
- подпись субъекта ПДн (или его представителя).
Заключительные положения
- Настоящая Политика является локальным нормативным документом Компании и хранится в бумажном виде по адресу местонахождения Компании у работника, ответственного за организацию обработки ПДн.
- Настоящая Политика может быть пересмотрена в любом из следующих случаев:
- при изменении законодательства Российской Федерации в области обработки и защиты ПДн;
- в случаях получения предписаний на устранение несоответствий, затрагивающих область действия Политики;
- по решению руководства Компании;
- при изменении целей обработки ПДн;
- при изменении организационной структуры, структуры информационных и/или телекоммуникационных систем (или введении новых);
- при применении новых технологий обработки ПДн (в т.ч. передачи, хранения);
- при появлении необходимости в изменении процесса обработки ПДн, связанной с деятельностью Компании.
- В случае неисполнения положений настоящей Политики, Компания и ее работники несут ответственность в соответствии с действующим законодательством Российской Федерации.