УТВЕРЖДЕНО
Приказом Генерального директора
ООО «АВТ Трейд»
№ 7 от «22» мая 2019 года
ПОЛИТИКА
в области обработки и защиты персональных данных
в ООО «АВТ Трейд»
Москва, 2019 год
СОДЕРЖАНИЕ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Во исполнение требований Федерального закона от 07.2006 №152-ФЗ «О персональных данных», Трудового кодекса РФ, других законодательных актов Российской Федерации в области обработки и защиты персональных данных, а также внутренних документов, ООО «АВТ Трейд» (далее – «Компания») обеспечивает легитимность обработки и безопасность персональных данных в своей деятельности.
1.2. Компания включена в Реестр операторов, осуществляющих обработку персональных данных (далее – «Реестр»). Указанный Реестр опубликован на сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в сети «Интернет» по адресу: http://rkn.gov.ru/personal-data/register/.
1.3. Принципами обработки персональных данных в Компании являются:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
- при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных, принимаются необходимые меры по удалению или уточнению неполных или неточных персональных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, согласием на обработку персональных данных, договором, стороной которого является субъект персональных данных;
- обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
- обработка персональных данных не используется в целях причинения имущественного и/или морального вреда субъектам персональных данных, затруднения реализации их прав и свобод;
- иные принципы, определенные в Правилах защиты данных.
2.ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. В соответствии с принципами обработки персональных данных в Компании определены состав обрабатываемых персональных данных и цели их обработки.
2.2. Состав и цели обработки персональных данных соответствуют требованиям действующего законодательства РФ в области обработки и защиты персональных данных.
2.3. Компания при обработке персональных данных преследует исключительно те цели, которые были определены перед началом сбора данных. Последующие изменения целей возможны только в ограниченной мере и подлежат обоснованию и информированию об этом субъекта персональных данных.
3. ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка персональных данных осуществляется Компанией на законной основе. В случаях, предусмотренных действующим законодательством РФ, Компания осуществляет получение согласия (письменного согласия) субъекта на обработку его персональных данных в установленном действующим законодательством РФ порядке. Если Компания получает персональные данные от третьего лица, то она в обязательном порядке требует подтверждения от этого лица, что оно имеет все необходимые основания для передачи персональных данных в Компанию.
3.2. В Компании не обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни. В Компании допускается обработка следующих специальных категорий персональных данных в отношении работников и кандидатов: данные об инвалидности, данные о состоянии на учете в психоневрологическом и наркологическом диспансерах, результаты медицинских обследований на предмет годности к осуществлению трудовых обязанностей (при наличии специальных требований к занимаемой должности).
3.3. Обработка биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются для установления личности субъекта персональных данных) в Компании не осуществляется. В соответствующих случаях, при предъявлении субъектами персональных данных паспортов или иных документов, содержащих фотографию субъекта, Компания не использует данную фотографию для установления личности субъекта персональных данных (идентификация), а использует для удостоверения тождественности лица, предъявившего документ, с лицом, изображенным на фотографии в этом документе (аутентификация).
3.4. Компания не размещает персональные данные субъекта персональных данных в общедоступных источниках без его письменного согласия.
3.5. Компания организовывает процессы взаимодействия с субъектами персональных данных таким образом, чтобы субъект мог обратиться в Компанию по всем предусмотренным в законодательстве РФ вопросам, связанным с обработкой его персональных данных (информация об обрабатываемых персональных данных, о третьих лицах, запросы на уточнение, прекращение обработки, блокировку и уничтожение).
3.6. Предоставление персональных данных органам государственной власти и местного самоуправления, в суды, правоохранительные органы, а также иным надзорным органам осуществляется Компанией в случаях и в порядке, предусмотренных законодательством РФ.
4. УСТАНОВЛЕНИЕ ПРАВИЛ И ПОРЯДКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
4.1. В соответствии с требованиями, указанными в п.1.1 настоящего документа, в Компании во внутренних документах, обязательных для исполнения всеми работниками Компании, а также в соответствующих соглашениях с партнерами, контрагентами и прочими третьими лицами в части, их касающейся, определяются:
- процедуры предоставления доступа к персональным данным;
- процедуры внесения изменений в персональные данные с целью обеспечения их точности, достоверности и актуальности, в том числе по отношению к целям обработки персональных данных;
- процедуры уничтожения, обезличивания либо блокирования персональных данных в случае необходимости выполнения таких процедур;
- процедуры обработки обращений субъектов персональных данных (их законных представителей) для случаев, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», в частности порядок подготовки информации о наличии персональных данных, относящихся к конкретному субъекту персональных данных, информации, необходимой для предоставления возможности ознакомления субъектом персональных данных (его законными представителями) с его персональными данными, а также процедуры обработки обращений об уточнении персональных данных, их блокировании или уничтожении, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для установленной цели обработки;
- процедуры обработки запроса уполномоченного органа по защите прав субъектов персональных данных;
- процедуры получения согласия субъекта персональных данных на обработку его персональных данных;
- процедуры передачи персональных данных между пользователями ресурса персональных данных, предусматривающего передачу персональных данных только между работниками Компании, имеющими доступ к персональным данным;
- процедуры передачи персональных данных третьим лицам;
- процедуры работы с материальными носителями персональных данных;
- процедуры, необходимые для осуществления уведомления уполномоченного органа по защите прав субъектов персональных данных об обработке персональных данных в сроки, установленные Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;
- необходимость применения типовых форм документов для осуществления обработки персональных данных и процедуры работы с ними. Под типовой формой документа понимается шаблон, бланк документа или другая унифицированная форма документа, используемая Компанией с целью сбора персональных данных.
5. ТРЕБОВАНИЯ К КОНФИДЕНЦИАЛЬНОСТИ И ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. С целью обеспечения безопасности персональных данных при их обработке в Компании реализуются требования действующего законодательства РФ в области обработки и обеспечения безопасности персональных данных.
5.2. Для этих целей в Компании введена, функционирует и проходит периодический пересмотр (контроль) система защиты персональных данных.
5.3. Компания применяет необходимые и достаточные организационные и технические меры, включающие в себя, в том числе:
- разработку внутренних документов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
- защиту персональных данных от несанкционированного доступа, неправомерной обработки или передачи, а также от утери, искажения или уничтожения (вне зависимости от того, автоматизированная или неавтоматизированная обработка персональных данных осуществляется);
- определение и внедрение перед введением новых процессов обработки персональных данных и новых информационных систем персональных данных технических и организационных мер, обеспечивающих защиту персональных данных, ориентированных на современный уровень техники и необходимую степень защиты данных;
- определение угроз безопасности персональным данным при их обработке в информационных системах персональных данных;
- установление правил доступа к персональным данным, обрабатываемых в информационных системах персональных данных, а также обеспечение регистрации и учета действий, совершаемых с персональными данными в информационных системах персональных данных;
- контроль и оценка эффективности применяемых мер;
- обнаружение фактов несанкционированного доступа к персональным данным (и других инцидентов с персональными данными) и принятие мер;
- восстановление персональных данных.
5.4. В части обеспечения конфиденциальности обработки Компания предпринимает меры, направленные на предотвращение несанкционированного сбора, обработки или использования персональных данных:
- предоставление доступа к персональным данным только в случаях и в порядке, предусмотренном законодательством РФ;
- ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Компании в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
5.5. В Компании назначены лица, ответственные за организацию обработки и обеспечения безопасности персональных данных.
5.6. Руководство Компании заинтересовано в обеспечении безопасности персональных данных, обрабатываемых в рамках выполнения основной деятельности Компании, как с точки зрения требований действующего законодательства РФ и корпоративных правил, так и с точки зрения минимизации рисков.
6.КОНТРОЛЬ
6.1. Контроль за выполнением настоящей Политики осуществляется лицами, исполняющими соответствующие функции согласно внутренним распорядительным документам Компании, а также руководителями управлений, департаментов, отделов и подразделений Компании – в отношении выполнения положений подчиняющимися им работниками.
7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
7.1. Настоящая Политика вступает в силу с момента его утверждения и действует до момента внесения изменений и/или принятия нового документа в соответствии с внутренним порядком Компании.
7.2. В случае если какое-либо из положений настоящей Политики является или становится недействительным, это не затрагивает действительность остальных положений настоящей Политики.
7.3. В случае изменения нормативно-правовых актов, использованных в настоящей Политике, настоящая Политика продолжает свое действие в части, не противоречащей действующему законодательству. В остальной части Компания руководствуется нормами действующего законодательства.