Персональные данные

УТВЕРЖДЕНО


Приказом № 2-ПД


ООО "Центр "КЕРАЛА"


(ОГРН 1057749020251)


31 августа 2022 г.





ПОЛИТИКА


ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ



Редакция 1




1. НАЗНАЧЕНИЕ И ОБЛАСТЬ ПРИМЕНЕНИЯ


1.1. Настоящая "Политика по обработке персональных данных" (далее - Политика) является локальным нормативным актом ООО "Центр "КЕРАЛА" (ОГРН 1057749020251) (далее - Оператор).

1.2. Настоящая Политика определяет принципы, цели, правовые основания, объем, порядок и условия обработки, актуализации, исправления, удаления и уничтожения персональных данных, меры по защите персональных данных, а также обязанности Оператора при их обработке и порядок реагирования Оператора на запросы и обращения субъектов персональных данных в связи с обработкой их персональных данных.

1.3. Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации о персональных данных и нормативно-методическими документами исполнительных органов государственной власти по вопросам безопасности персональных данных, в том числе при их обработке в информационных системах персональных данных.

1.4. Действие настоящей Политики по обработке персональных данных распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, уничтожению персональных данных, осуществляемых с использованием средств автоматизации и без использования таких средств.



2. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ


Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

ФЗ № 152 "О персональных данных" - Федеральный закон от 27.07.2006 года 152-ФЗ "О персональных данных".

3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ


3.1. Обработка персональных данных Оператором осуществляется на основе следующих принципов:

3.1.1. Обработка персональных данных осуществляется на законной и справедливой основе.

3.1.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;

3.1.3. Обработка персональных данных, несовместимая с целями сбора персональных данных не допускается;

3.1.4. Объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместных между собой не допускается;

3.1.5. Обработке подлежат только те персональные данные, которые отвечают целям их обработки;

3.1.6. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;

3.1.7. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;

3.1.8. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

3.1.9. По достижении целей обработки или в случае утраты необходимости в достижении этих целей, обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию, если иное не предусмотрено федеральным законом.


4. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ


4.1. Обработка персональных данных Оператором осуществляется с соблюдением принципов и правил, установленных Федеральным законом "О персональных данных" для следующих целей:

4.2. Заключение и исполнение договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

4.3. Информирование субъекта персональных данных о деятельности Оператора, направленной на повышение уровня информированности субъекта персональных данных о товарах и услугах, предлагаемых и предоставляемых Оператором на рынке для оперативного и наиболее полного удовлетворения интересов и потребностей в том числе субъекта персональных данных.



5. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ


5.1. Правовыми основаниями обработки персональных данных являются:

5.1.1. Договоры, заключаемые между Оператором и субъектом персональных данных;

5.1.2. Согласие субъекта персональных данных на обработку его персональных данных Оператором.



6. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ,

ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ


6.1. Оператор вправе обрабатывать персональные данные следующих категорий субъектов персональных данных в следующих объёмах:

6.1.1. Клиенты Оператора (физические лица) - фамилия, имя, отчество, дата рождения, адрес электронной почты, номер телефона.



7. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ


7.1. В общем случае обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, которое может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт получения согласия форме, в том числе в электронном виде, если необходимость получения согласия субъекта на обработку персональных данных в письменной форме, не установлена ФЗ №152 "О персональных данных".

7.2. В следующих случаях согласие субъекта на обработку его персональных данных должно быть получено Оператором в письменной форме:

7.2.1. Включение персональных данных субъекта в общедоступные источники персональных данных;

7.2.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости;

7.2.3. Обработка биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности субъекта персональных данных);

7.2.4. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных;

7.2.5. Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

7.3. Без согласия субъекта персональных данных осуществляется обработка персональных данных, доступ неограниченного круга лиц, к которым предоставлен субъектом персональных данных, либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных).

7.4. В статистических или иных исследовательских целях обработка персональных данных осуществляется при условии обязательного обезличивания персональных данных.

7.5. С согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, Оператор вправе поручить обработку персональных данных третьему лицу на основании заключаемого с указанным лицом договора (далее - поручение Оператора). Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящей Политикой и ФЗ № 152 "О персональных данных".

7.6. В случае, если Оператор поручает обработку персональных данных третьему лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.

7.7. Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

7.8. При обработке персональных данных Оператор осуществляет с персональными данными следующие действия: получение, запись, накопление, систематизацию, хранение, уточнение (обновление, изменение), передача третьим лицам с согласия субъекта персональных данных, извлечение, блокировка, обезличивание и уничтожение.

7.9. Оператор осуществляет автоматизированный и неавтоматизированный способы обработки персональных данных.

7.10. Оператор осуществляет обработку и хранение персональных данных в течение неограниченного срока до получения от соответствующего субъекта персональных данных требования об отзыве его согласия на обработку его персональных данных, до достижения целей обработки или в случае утраты необходимости достижения цели обработки, после чего Оператор в установленном действующим законодательством порядке уничтожает имеющиеся у него персональные соответствующего субъекта.

8. ОБЯЗАННОСТИ ОПЕРАТОРА


8.1. При сборе персональных данных Оператор обязан предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных, установленную ФЗ №152 "О персональных данных".

8.2. Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа субъекта предоставить его персональные данные, если предоставление персональных данных субъектом является обязательным в соответствии с федеральным законом.

8.3. Оператор обязан уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональных данных были получены не от субъекта персональных данных (за исключением случаев, когда субъект персональных данных уже уведомлен об осуществлении обработки его персональных данных соответствующим оператором).

8.4. Оператор обязан до начала обработки персональных данных, полученных не от субъекта персональных данных, и если иное не установлено ФЗ №152 "О персональных данных", предоставить субъекту персональных данных следующую информацию:

8.4.1. Наименование либо фамилия, имя, отчество и адрес Оператора или его представителя;

8.4.2. Цель обработки персональных данных и ее правовое основание;

8.4.3. Предполагаемых пользователей персональных данных;

8.4.4 Установленные ФЗ №152 "О персональных данных" права субъекта персональных данных;

8.4.5. Источник получения персональных данных.

8.5. Оператор освобождается от обязанности предоставить субъекту персональных данных указанные выше сведения, в случаях, если:

8.5.1. Субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

8.5.2. Персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

8.5.3. Персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

8.5.4. Обработка персональных данных осуществляется для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта персональных данных;

8.5.5. Предоставление субъекту персональных данных сведений, полученных не от субъекта персональных данных, нарушает права и законные интересы третьих лиц.

8.6. При обработке персональных данных граждан Российской Федерации Оператор обязан использовать базы данных, находящиеся на территории Российской Федерации, за исключением случаев, установленных ФЗ №152 "О персональных данных"

8.7. По требованию субъекта персональных данных Оператор обязан уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки либо обеспечить блокирование, удаление, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора.

8.8. Оператор обязан вести Журнал учета обращений субъектов персональных данных, в котором должны фиксироваться запросы субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по этим запросам.

8.9. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных, Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом персональных данных либо обеспечить прекращение обработки персональных данных и их уничтожение, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора и уведомить об уничтожении персональных данных субъекта персональных данных.

8.10. В случае поступления требования субъекта о прекращении обработки персональных данных в целях продвижения товаров, работ, услуг на рынке Оператор обязан немедленно прекратить обработку персональных данных либо обеспечить прекращение обработки персональных данных, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора.

8.11. В случае достижения цели обработки персональных данных Оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить либо обезличить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами либо обеспечить уничтожение, обезличивание, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.


9. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ

ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ


9.1. При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

9.2. Обеспечение безопасности персональных данных достигается, в частности:

9.2.1. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

9.2.2. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

9.2.3. Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

учетом машинных носителей персональных данных;

9.2.4. Обнаружением фактов несанкционированного доступа к персональным данным и принятием мер для исключения возможности такого доступа в дальнейшем;

9.2.5. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

9.2.6. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета действий, совершаемых с персональными данными в информационной системе персональных данных;

9.2.7. Контролем эффективности принимаемых мер по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.



10. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ


10.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации оператором, а обработка должна быть прекращена, соответственно.

10.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

10.2.1. Иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

10.2.2. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или иными федеральными законами;

10.2.3. Иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.

10.3. Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.



11. РЕГЛАМЕНТЫ РЕАГИРОВАНИЯ


11.1. Регламент реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений, утверждаются Оператором в форме отдельного документа под названием "Порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ от 27.07.2006 г. "О персональных данных".


***