1.1. В процессе деятельности Организация обрабатывает Персональные данные. Осуществляя обработку Персональных данных, Организация несет ответственность за соблюдение конфиденциальности в отношении Клиентов и Сотрудников Организаии, а также иных граждан, обработка персональных данных которых осуществляется Организацией. Настоящая политика устанавливает общие стандарты в отношении соблюдения конфиденциальности и защиты персональных данных.
1.2. Настоящая политика применима ко всем случаям обработки Персональных данных Организации или от имени Организации, вне зависимости от того, является обработка Персональных данных автоматизированной или неавтоматизированной, производится она вручную, автоматически (полу-автоматически). В процессе обработки Организация руководствуется Федеральным Законом «О персональных данных» №152-ФЗ от 27.07.2006 (далее – Закон).
1.3. Настоящая Политика является внутренним нормативным документов Организации и является обязательной для исполнения всеми подразделениями Организации.
1.4. Настоящая политика публикуется путем размещения на информационных стендах, размещенных в помещениях занимаемыми структурными подразделениями Организации. Любой субъект обработки персональных данных в любое рабочее время подразделения организации имеет право ознакомиться с настоящей политикой.
1.5. В дополнение к настоящей политике, организация может выпустить дополнительные нормативные документы, регулирующие защиту и порядок обработки Персональных данных. Такие руководства являются неотъемлемой частью настоящей Политики.
1.6. В случае если требования настоящей политики являются более строгими по сравнению с требованиями закона – требования Политики имеют преимущество.
1.7. Настоящая политика не распространяется на:
- Данные, не относящиеся к определенному физическому лицу;
- Данные по юридическим лицам.
1.8. Настоящая политика утверждается руководителем Организации и вводится приказом директора организации. Настоящая политика подлежит пересмотру один раз в два года, либо ранее в случае нахождения явных ошибок или нарушений как действующего, так и принятого вновь законодательства.
2. Основные понятия
Организация – ООО «Руссо» (основное подразделение, обособленные подразделения)
Клиент – физическое лицо, с которым у Организации:
- Заключены договоры;
- Имеются намерения установления гражданско-правовых отношений;
- Были заключены договоры, которые прекратили свое действие в течение последних трех лет.
Прямой маркетинг – осуществления прямых контактов с потенциальным потребителем с помощью средств связи в целях продвижения товаров Организации.
Субъект персональных данных – идентифицированное или не идентифицированное физическое лицо, в отношении которого проводится обработка Персональных данных.
Уполномоченный сотрудник - сотрудник подразделения, ответственного за обработку Персональных данных, а так же за их защиту, уполномоченный руководителем на обработку. Подразделения наделяются соответствующими функциями Приказом руководителя Организации.
Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (Субъекту Персональных данных), в том числе его фамилия, имя отчество, место жительства, паспортные данные, иные сведения, указанные в документе, удостоверяющего личность.
Политика – настоящая Политика – Защита персональных данных.
Обработка - производимые действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Сотрудник – физическое лицо, с которым у Организации заключен трудовой, гражданско-правовой договор. В целях Политики, настоящий термин так же применим к руководителю Организации.
3.Основные положения
3.1. Принципы обработки Персональных данных
3.1.1. Правомерность обработки.
3.1.1.1. Организация проводит обработку Персональных данных в случаях, когда она оправдана необходимостью. Обработка должна быть обоснованной и целесообразной.
Организация проводит обработку Персональных данных в целях:
- осуществления возложенных на Организацию законодательством РФ функция в соответствии с действующим законодательством;
- осуществления функций указанных в учредительных документах Организации, внутренних документах организации отдельно регулирующих данный вопрос;
- исполнения гражданско-правовых, коллективных, трудовых договоров.
3.1.1.2. Обработке подлежат Персональные данные в количестве и объеме соответствующих целям обработки. Персональные данные не подлежат обработке в случае несоответствия их характера и объема поставленным целям.
3.1.1.3. В том случае если для достижения указанных выше целей обработки Персональных данных, Организации необходимо осуществить обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, такая обработка осуществляется только на основании письменного согласия Субъекта персональных данных. Обработка специальных категорий персональных данных, должна быть незамедлительно прекращена, если устранения причины, вследствие которых она осуществлялась.
3.1.1.4. Обработка Организации персональных данных о судимости не допускается, если иное не установлено Федеральным законом РФ.
3.1.1.5. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться Организацией только при наличии согласия субъекта в письменной форме Субъекта Персональных данных.
3.1.1.6. До начала обработки, Организацией должно быть предприняты технические и организационные меры к защите персональных данных от потери или незаконного использования. Доступ к персональным данным будет предоставлен исключительно уполномоченным сотрудникам, в тех случаях и тогда когда это требуется для эффективного исполнения им/ей своих обязанностей.
3.1.1.7. Срок обработки персональных данных определяются в соответствие со сроком действия договора с Субъектом Персональных данных, сроком исковой давности, сроками хранения документов, установленных Приказом Министерства Культуры Российской Федерации от 25 августа 2010 г. №558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций с указанием сроков хранения», иными требованиями законодательства и нормативными документами, а так же сроком предоставленного субъектом согласия на обработку персональных, в случаях, когда такое согласие должно быть предоставлено в соответствии с требованиями законодательства.
3.1.2. Обязанности Организации при получении Персональных данных
3.1.2.1. При сборе персональных данных Организация предоставляет Субъекту Персональных данных по его просьбе информацию, указанную в п.3.3. настоящей Политике.
3.1.2.2. При получении Персональных данных не от Субъекта персональных данных (за исключением случаев, если персональные данные были предоставлены Организации на основании федерального закона или если персональные данные являются общедоступными) Организация, до начала их обработки проинформирует об этом Субъекта Персональных данных и сообщит ему:
- наименование и адрес Организации или её представителя, если имеется;
- цель обработки персональных данных и её правовое основание;
- Предполагаемые пользователи Персональных данных;
- Установленные Законом права субъекта персональных данных.
3.1.2.3. Примерный способ информирования (почтовое отправление, телеграмма) избирается Организацией соответственно каждому случаю получения Персональных данных. В случае, если прямое информирование Субъекта Персональных данных не возможно ввиду отсутствия контактных данных субъекта Персональных данных, Организация предпримет все возможные меры с целью доведения до него указанной информации, в т.ч. потребует от лица предоставившего Персональные данные подтверждения факта информирования Субъекта об обработке его Персональных данных Организацией.
3.1.3. Допуск к обработке Персональных данных
3.1.3.1. Персональные данные могут обрабатываться только уполномоченными в установленном порядке сотрудниками Организации.
Сотрудники, осуществляющее обработку персональных данных, должны действовать в соответствии с должностными инструкциями, регламентами и другими распорядительными документами Организации, и соблюдать требования Организации по обеспечению Информационной безопасности. Безопасность персональных данных при их обработке обеспечивают сотрудники Организации, которые имеет доступ к персональным данным.
3.1.3.2. Сотрудникам, осуществляющим обработку персональных данных, запрещается несанкционированное или нерегистрируемое копирование персональных данных, в том числе с использованием отчуждаемых (сменных) носителей информации, коммуникационных портов и устройств ввода- вывода, реализующих различные интерфейсы (включая беспроводные), запоминающих устройств мобильных средств (например, ноутбуков, карманных персональных компьютеров, смартфонов, мобильных телефонов), а так же устройств фото и видеосъемки.
3.1.4. Привлечение третьих лиц к обработке Персональных данных
3.1.4.1. Организация будет прибегать привлечению третьих лиц для проведения обработки Персональных данных только в случае оправданной необходимости.
3.1.4.2. Организация предпринимает все необходимые меры к обеспечению того, чтобы привлеченные к обработке Персональных данных третьи лица действовали в соответствии с настоящей Политикой. Организация прекратит отношения с третьим лицом в случае:
- систематического нарушения третьим лицом настоящей Политики; или
- грубого непреднамеренного нарушения третьим лицом настоящей Политики.
3.1.4.3. В случае, если Персональные данные получены от третьей стороны, Организация будет передавать их третьему лицу для обработки, только получив соответствующее согласие Субъекта Персональных данных.
3.1.5. Запись телефонных разговоров
3.1.5.1. Запись телефонных разговоров будет производится только при наличии действительной необходимости и не имеет иных целей, кроме:
- Обеспечения Организации возможности совершения физическим лицом операции;
- оценка качества работы организации;
- использование в качестве одного из доказательств с судебном процессе.
3.1.6.2 Организация информирует респондентов об осуществлении записи да начала телефонного разговора.
3.1.6. Трансграничная передача персональных данных
3.1.6.1. В случае необходимости осуществления трансграничной передачи Персональных данных Организация, перед совершением такой передачи, обязана убедиться в том, что иностранным государством, на территорию которого осуществляется передача Персональных данных, обеспечивается адекватная защита прав Субъектов Персональных данных.
3.1.6.2. Трансграничная передача Персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться Организацией в случаях:
- наличия в письменной форме субъекта персональных данных;
- исполнения договора, стороной которого является Субъект персональных данных;
- иных случаях, установленных законодательством РФ.
3.3. Права Субъекта Персональных данных
Субъект Персональных данных имеет право:
- на получение сведений об операторе, о месте его нахождения, о наличии у оператора Персональных данных, относящихся к соответствующему субъекту Персональных данных, а также ознакомление с такими Персональными данными;
- требовать от Организации уточнения своих персональных данных, их блокирования или уничтожения в случае, если Персональные данные являются неточными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- требовать прекращения обработки персональных данных, осуществляемых в целях прямого маркетинга;
- получать информацию, касающуюся обработки его персональных данных, в том числе содержащую:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
11) сроки обработки персональных данных, в том числе срок их хранения;
12) сведения о том, какие юридические последствия для субъекта Персональных данных может повлечь за собой обработка его Персональных данных.
3.3.1. Порядок предоставления информации Субъекту Персональных данных
3.1.1.1. Доступ к своим Персональным данным предоставляется субъекту Персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать фамилию, имя, отчество лица, место его жительства (его представителя).
3.1.1.2. Организация предоставляет информацию персональных данных или его представителю информацию о наличии Персональных данных, относящихся к соответствующему субъекту Персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта Персональных данных или его законного представителя либо в течение 10 (десяти) рабочих дней с даты получения запроса субъекта персональных данных или его представителя.
3.3.1.3. Право субъекта персональных данных или его представителя при обращении либо при получении запроса субъекта персональных данных или его представителя, ограничивается в случае, если предоставление персональных данных нарушает конституционные права и свободы других лиц.
В случае отказа в предоставлении субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать посменной форме мотивированный ответ, содержащий ссылку на положение Федерального закона, являющегося основанием для отказа, в срок не превышающий 7 (семи) рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его представителя.
3.3.2. Требование Субъекта о прекращении обработки Персональных данных
3.3.2.1. Субъект Персональных данных вправе требовать о Организации прекращения обработки своих персональных данных в случае, если Персональные данные являются устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки; а так же в случае, если их обработка осуществлялась с целью прямого маркетинга.
3.3.2.2. В течение 10 рабочих дней после получения Организации соответствующего требования, Организация обязана проинформировать Субъекта Персональных данных в письменной форме о возможности удовлетворения такого запроса и о сроках его исполнения. В случае отказа в удовлетворении запроса, Организацией должны быть предоставлены его основания.
3.3.2.3. Требования прекратить использование Персональных данных в целях прямого маркетинга, может быть в любое время предоставлено Субъектом персональных данных, и должно быть немедленно исполнено Организацией.
3.3.3 Обработка запросов и требований Субъектов Персональных данных
Обработка запросов и требований Субъектов персональных данных осуществляется сотрудниками организации, уполномоченных на данные действия руководителем Организации.
4. Обеспечение исполнения
4.1. За неисполнение настоящей Политики лицо может привлечено к дисциплинарной, гражданской, административной, уголовной ответственности.