Политика по обработке персональных данных
ООО «Агентство мониторинга Интернета»
1 Общие положения
1.1 Настоящая Политика по обработке персональных данных в ООО «Агентство мониторинга Интернета» (далее — Политика).
1.2 Политика разработана в соответствии с Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «О персональных данных», Уставом ООО «Агентство мониторинга Интернета».
1.3 Цель разработки Политики — определение порядка обработки персональных данных работников ООО «Агентство мониторинга Интернета» и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий оператора; согласно нормам и принципам законодательства Российской Федерации, и специальным требованиям к обработке персональных данных.
1.4 Настоящая Политика вступает в силу с момента ее утверждения ООО «Агентство мониторинга Интернета».
1.5 Политика действует только в пределах ООО «Агентство мониторинга Интернета», распространяется в равной мере на всех работников, участвующих в обработке, и является обязательным для применения и соблюдения.
1.6 Все работники ООО «Агентство мониторинга Интернета», участвующие в обработке персональных данных, должны быть ознакомлены с настоящей Политикой под роспись.
1.7 Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии ООО «Агентство мониторинга Интернета», если иное не определено законом.
1.8 Контроль за соблюдением настоящей Политики осуществляет ответственные за организацию обработки персональных данных в ООО «Агентство мониторинга Интернета».
1.9 Основные понятия, используемые в настоящей Политике:
— персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных;
— обработка персональных данных — любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
— конфиденциальность персональных данных — обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным субъектов, требование не допускать их распространения без согласия субъекта или иного законного основания;
— распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
— предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
— использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
— блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
— уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
— обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
— общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
— информация — сведения (сообщения, данные) независимо от формы их предоставления.
2 Цели обработки персональных данных
1.1 Обработка персональных данных в ООО «Агентство мониторинга Интернета» осуществляется для достижения конкретных и законных целей: для заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическими лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и Уставом предприятия; ведение личных дел сотрудников; работа с жалобами, заявлениями граждан; обеспечение кадрового резерва, обработка персональных данных, необходимая для профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных. Не допускается обработка персональных данных, несовместимая с целями, для которых собирались персональные данные.
3 Сбор, обработка, хранение персональных данных и условия передачи третьим лицам
3.1. Обработка персональных данных осуществляется исключительно в целях выполнения обязательств ООО «Агентство мониторинга Интернета», обеспечения соблюдения законов и иных нормативных правовых актов,
3.2. Ответственные за обработку персональных данных работников ООО «Агентство мониторинга Интернета» и их законных представителей и иных субъектов персональных данных назначаются приказом ООО «Агентство мониторинга Интернета».
3.3. Запрещается использовать персональные данные в целях причинения имущественного и морального вреда гражданам, затруднения реализации ими своих прав и свобод.
3.4. Персональные данные субъекта получают с его согласия у него самого, либо у его представителя.
3.5. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
3.6. Уполномоченные должностные лица ООО «Агентство мониторинга Интернета» должны сообщить субъекту о характере подлежащих получению персональных данных, о целях, для которых они собираются и последствиях отказа субъекта предоставить данные.
3.7. В случаях, предусмотренных законом «О персональных данных», когда необходимо получение письменного согласия субъекта, уполномоченные должностные лица должны предоставить субъекту форму такого согласия.
3.8. Для достижения целей обработки персональных данных ООО «Агентство мониторинга Интернета» вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных и цели обработки, установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указаны стандарт обеспечения безопасности или требования к обеспечению безопасности обрабатываемых персональных данных.
3.9. Если персональные данные субъектов предоставляются третьей стороной, то обязанность получения согласия возлагается на сторону, собирающую данные непосредственно у субъекта, и данная обязанность отражается в договоре между сторонами.
3.10. Не допускается получение и обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность (биометрические персональные данные), которые используются оператором для установления личности субъекта персональных данных, без согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных законом «О персональных данных».
Информация, относящаяся к персональным данным субъекта, может быть предоставлена государственным органам в порядке, установленном действующим законодательством Российской Федерации.
3.11. Не допускается сообщать персональные данные субъекта третьей стороне без его согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных законодательством Российской Федерации.
3.12. В случае если лицо, обратившееся с запросом, не уполномочено действующим законодательством Российской Федерации на получение персональных данных субъекта либо отсутствует согласие субъекта на предоставление его персональных данных, руководство ООО «Агентство мониторинга Интернета» обязано отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдаётся письменное уведомление об отказе в предоставлении персональных данных с указанием причины отказа.
3.13. При передаче персональных данных субъекта третьим лицам необходимо предупреждать их о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать режим конфиденциальности. Исключение составляет обмен персональными данными в порядке, установленном действующим законодательством.
3.14. Передача персональных данных субъекта в пределах ООО «Агентство мониторинга Интернета» осуществляется в соответствии с локальными нормативными актами, должностными инструкциями, приказами директора.
3.15. Копировать и делать выписки персональных данных субъекта разрешается исключительно в служебных целях с письменного разрешения ответственного за обработку персональных данных, осуществляющего обработку и хранение ООО «Агентство мониторинга Интернета».
4 Согласие на обработку персональных данных
4.1. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
4.2 Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
1 фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2 фамилию, имя отчество, адрес представителя, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя (при получении согласия от представителя субъекта персональных данных);
3 наименование и адрес оператора, получающего согласие субъекта персональных данных;
4 цель обработки персональных данных;
5 перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6 перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
7 срок, в течение которого действует согласие, а также способ его отзыва, если иное не установлено федеральными законами;
8 подпись субъекта персональных данных.
4.3 Согласие субъекта не требуется в следующих случаях:
1 обработка персональных данных, необходимая для достижения целей, предусмотренных законом или международным договором Российской Федерации, для осуществления функций и полномочий, выполнения обязанностей, возложенных законодательством на оператора, в том числе в целях осуществления правосудия или исполнения судебного решения;
2 обработка персональных данных, необходимая для достижения общественно значимых целей;
3 обработка персональных данных, необходимая для исполнения договора, одной из сторон которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
4 обработка персональных данных, необходимая для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5 обработка персональных данных, необходимая для осуществления прав и законных интересов оператора или третьих лиц, при условии, что при этом не нарушаются права и свободы субъектов персональных данных;
6 обработка персональных данных, необходимая для профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
7 обработка персональных данных осуществляется для статистических или иных исследовательских целей, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
8 обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных, либо по просьбе субъекта персональных данных (сделанных субъектом персональных данных общедоступными);
9 обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральными законами.
5 Доступ к персональным данным
5.1. Операторы и иные лица, получившие доступ к персональным данным, если иное не предусмотрено федеральным законом, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных или наличия иного законного основания.
5.2. Доступ к персональным данным работников ООО «Агентство мониторинга Интернета», их законных представителей и иных субъектов персональных данных имеют директор ООО «Агентство мониторинга Интернета» и должностные лица, осуществляющие обработку персональных данных, согласно утвержденному списку.
5.3. Доступ сотрудников других структурных подразделений ООО «Агентство мониторинга Интернета» к персональным данным работников ООО «Агентство мониторинга Интернета» и их законных представителей, и иных субъектов персональных данных осуществляется на основании приказа или письменного разрешения директора ООО «Агентство мониторинга Интернета». Доступ представителей сторонних организаций к персональным данным субъекта осуществляется с письменного согласия субъекта персональных данных.
5.4. Ознакомление с персональными данными субъекта сотрудниками правоохранительных органов осуществляется беспрепятственно в пределах их полномочий, при предъявлении ими соответствующих документов, с разрешения руководителя ООО «Агентство мониторинга Интернета.
6 Защита персональных данных
6.1. Должностные лица ООО «Агентство мониторинга Интернета» обязаны принимать или обеспечивать принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий с ними (далее – меры по обеспечению безопасности персональных данных). Указанные меры принимаются с учетом возможного вреда субъекту персональных данных, объема и характера обрабатываемых персональных данных, условий обработки персональных данных, актуальности угроз безопасности персональных данных, а также возможностей технической реализации этих мер.
6.2 Целями защиты информации являются:
— предотвращение утечки, хищения, утраты, искажения, подделки информации,
— предотвращение угроз безопасности личности, общества, государства,
— предотвращение несанкционированных действий по уничтожению,
— модификации, искажению, копированию, блокированию информации,
— предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы ООО «Агентство мониторинга Интернета»,
— защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах ООО «Агентство мониторинга Интернета»,
— сохранение конфиденциальности документированной информации в соответствии с законодательством.
6.3 Меры по обеспечению безопасности персональных данных включают в себя, в частности:
1 определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2 применение методов (способов) защиты информации и прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
3 оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
4 учет машинных носителей персональных данных;
5 обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
6 восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
7 установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
8 контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
7 Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
7.1. Работники ООО «Агентство мониторинга Интернета», виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
