Политика обработки персональных данных
политика обработки персональных данных
Общество с ограниченной ответственностью «Лео Август Брендинг»
2022 год
1. Термины и определения, используемые в Политике:
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
Оператор персональных данных (Оператор) — лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определение цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (Общества с ограниченной ответственностью «Лео Август Брендинг»);
Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц;
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Информационная система персональных данных (далее — ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
- сбор;
- использование;
Оператор персональных данных (Оператор) — лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определение цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (Общества с ограниченной ответственностью «Лео Август Брендинг»);
Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц;
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Информационная система персональных данных (далее — ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2. Общие положения
Оператор ставит конфиденциальность и безопасность обработки персональных данных в качестве приоритетных задач организации обработки.
Конфиденциальность и безопасность обработки персональных данных достигается в том числе путём разработки и своевременной актуализации организационно-распорядительной документации, положения которой обязательны для исполнения всеми сотрудниками Оператора, допущенными к обработке персональных данных.
На сотрудников, контрагентов, аффилированных лиц распространяются обязательства о строгом соблюдении конфиденциальности.
Обработка, хранение, обеспечение конфиденциальности и безопасности персональных данных производятся в соответствии с действующим законодательством РФ в сфере защиты персональных данных и в соответствии с локальными актами Оператора.
Политикой обработки персональных данных определяются принципы, порядок и условия обработки персональных данных субъектов, чьи данные обрабатываются Оператором. При этом обязательно обеспечение защиты прав и свобод человека при обработке его персональных данных, включая, но не ограничиваясь, права на неприкосновенность частной жизни, личную и семейную тайну, иные охраняемые законом тайны.
Данная Политика будет предоставлена для всеобщего доступа в соответствии с требованиями ч. 2 ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных», а потому не содержит информации о реализованных мерах по защите персональных данных Оператором, а также иную информацию, которая, будучи использованная неограниченным кругом лиц, может создать риски причинения ущерба, в том числе деловой репутации Оператора или субъектам персональных данных.
Неприкосновенность личной сферы пользователя при обработке его персональных данных относится к числу важнейших аспектов деятельности Оператора.
Конфиденциальность и безопасность обработки персональных данных достигается в том числе путём разработки и своевременной актуализации организационно-распорядительной документации, положения которой обязательны для исполнения всеми сотрудниками Оператора, допущенными к обработке персональных данных.
На сотрудников, контрагентов, аффилированных лиц распространяются обязательства о строгом соблюдении конфиденциальности.
Обработка, хранение, обеспечение конфиденциальности и безопасности персональных данных производятся в соответствии с действующим законодательством РФ в сфере защиты персональных данных и в соответствии с локальными актами Оператора.
Политикой обработки персональных данных определяются принципы, порядок и условия обработки персональных данных субъектов, чьи данные обрабатываются Оператором. При этом обязательно обеспечение защиты прав и свобод человека при обработке его персональных данных, включая, но не ограничиваясь, права на неприкосновенность частной жизни, личную и семейную тайну, иные охраняемые законом тайны.
Данная Политика будет предоставлена для всеобщего доступа в соответствии с требованиями ч. 2 ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных», а потому не содержит информации о реализованных мерах по защите персональных данных Оператором, а также иную информацию, которая, будучи использованная неограниченным кругом лиц, может создать риски причинения ущерба, в том числе деловой репутации Оператора или субъектам персональных данных.
Неприкосновенность личной сферы пользователя при обработке его персональных данных относится к числу важнейших аспектов деятельности Оператора.
3. Цели обработки персональных данных
Оператор собирает персональные данные исключительно в необходимом для целей использования объёме.
4. Правовые основания обработки персональных данных
Персональные данные Оператором обрабатываются на основании:
– Конституции Российской Федерации;
– Гражданского кодекса Российской Федерации;
– Устава ООО «ЛАБ»;
– Cогласия на обработку персональных данных (пп.1 ч.1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»).
– Конституции Российской Федерации;
– Гражданского кодекса Российской Федерации;
– Устава ООО «ЛАБ»;
– Cогласия на обработку персональных данных (пп.1 ч.1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»).
5. Объём и категории обрабатываемых персональных данных, категории субъектов персональных данных, обрабатываемых Оператором
Перечень обрабатываемых персональных данных, подлежащих защите Оператором, определён целями их обработки, Федеральным законом № 152-ФЗ «О защите персональных данных», иными нормативно-правовыми актами.
Оператором утверждён перечень персональных данных, подлежащих защите.
Оператор не обрабатывает биометрические персональные данные.
Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.
Трансграничная передача персональных данных Оператором не осуществляется.
Принятие решений на основании исключительно автоматизированной обработки персональных данных, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, не осуществляется.
Оператором утверждён перечень персональных данных, подлежащих защите.
Оператор не обрабатывает биометрические персональные данные.
Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.
Трансграничная передача персональных данных Оператором не осуществляется.
Принятие решений на основании исключительно автоматизированной обработки персональных данных, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, не осуществляется.
6. Порядок и условия обработки персональных данных
Отказ субъекта персональных данных от предоставления согласия на обработку его персональных данных влечёт за собой невозможность достижения целей обработки.
Оператор осуществляет смешанную обработку персональных данных.
Под обработкой персональных данных ООО «ЛАБ» понимается сбор, использование персональных данных.
Персональные данные не передаются третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации.
Оператор может передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
Обработка персональных данных Оператором производится на основе соблюдения принципов:
– законности целей и способов обработки персональных данных;
– соответствия целей обработки персональных данных целям, заранее определённым и заявленным при сборе персональных данных;
– соответствия объёма и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
– достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
– недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
– хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
– уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.
Оператор осуществляет смешанную обработку персональных данных.
Под обработкой персональных данных ООО «ЛАБ» понимается сбор, использование персональных данных.
Персональные данные не передаются третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации.
Оператор может передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
Обработка персональных данных Оператором производится на основе соблюдения принципов:
– законности целей и способов обработки персональных данных;
– соответствия целей обработки персональных данных целям, заранее определённым и заявленным при сборе персональных данных;
– соответствия объёма и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
– достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
– недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
– хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
– уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.
6.1. Сроки обработки персональных данных
Оператор создаёт и хранит документы, содержащие сведения о субъектах персональных данных. Требования к использованию данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
6.2. Права и обязанности
Оператор персональных данных вправе:
– отстаивать свои интересы в суде;
– предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
– отказывать в предоставлении персональных данных в предусмотренных законодательством случаях;
– использовать персональные данные субъекта без его согласия в предусмотренных законодательством случаях.
Оператор персональных данных обязуется:
– обеспечить каждому субъекту персональных данных возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом;
– внести необходимые изменения, уничтожить или блокировать персональные данные в случае предоставления субъектом неполных, устаревших, недостоверных или незаконно полученных персональных данных, а также уведомить о своих действиях субъекта персональных данных;
– выполнять требования законодательства Российской Федерации.
Субъект персональных данных имеет право:
– требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также предпринимать предусмотренные законом меры по защите своих прав;
– требовать перечень своих персональных данных, обрабатываемых Оператором, и информацию об источниках их получения;
– получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
– требовать уведомления всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведённых в них исключениях, исправлениях или дополнениях;
– обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.
Субъект персональных данных обязан:
– передавать достоверные, необходимые для достижения целей обработки персональные данные, а также при необходимости подтверждать достоверность персональных данных предъявлением оригиналов документов;
– в случае изменения персональных данных, необходимых для достижения целей обработки, уведомить Оператора об уточнённых персональных данных и подтвердить изменения оригиналами документов;
– выполнять требования законодательства Российской Федерации.
– отстаивать свои интересы в суде;
– предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
– отказывать в предоставлении персональных данных в предусмотренных законодательством случаях;
– использовать персональные данные субъекта без его согласия в предусмотренных законодательством случаях.
Оператор персональных данных обязуется:
– обеспечить каждому субъекту персональных данных возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом;
– внести необходимые изменения, уничтожить или блокировать персональные данные в случае предоставления субъектом неполных, устаревших, недостоверных или незаконно полученных персональных данных, а также уведомить о своих действиях субъекта персональных данных;
– выполнять требования законодательства Российской Федерации.
Субъект персональных данных имеет право:
– требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также предпринимать предусмотренные законом меры по защите своих прав;
– требовать перечень своих персональных данных, обрабатываемых Оператором, и информацию об источниках их получения;
– получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
– требовать уведомления всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведённых в них исключениях, исправлениях или дополнениях;
– обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.
Субъект персональных данных обязан:
– передавать достоверные, необходимые для достижения целей обработки персональные данные, а также при необходимости подтверждать достоверность персональных данных предъявлением оригиналов документов;
– в случае изменения персональных данных, необходимых для достижения целей обработки, уведомить Оператора об уточнённых персональных данных и подтвердить изменения оригиналами документов;
– выполнять требования законодательства Российской Федерации.
6.3. Обеспечение безопасности и конфиденциальности персональных данных
Оператором разработаны и внедрены необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
Для обеспечения безопасности персональных данных приняты следующие меры:
– назначено лицо, ответственное за организацию обработки персональных данных;
– утверждены и своевременно актуализируются документы, определяющие политику ООО «ЛАБ» в отношении обработки персональных данных, организационные и технические меры, направленные на предотвращение и выявление нарушений законодательства. К таким документам относятся: план мероприятий по обеспечению безопасности персональных данных в ИСПДн; перечень персональных данных, подлежащих защите; положение о разграничении прав доступа к персональным данным; приказ об утверждении перечня лиц, допущенных к обработке персональных данных; положение о защите и обработке персональных данных; настоящая Политика в отношении обработки персональных данных; приказ об утверждении мест хранения персональных данных и лиц, ответственных за соблюдение конфиденциальности персональных данных при их хранении; инструкция пользователя ИСПДн; инструкция ответственного за организацию обработки персональных данных; приказ о назначении группы реагирования на инциденты информационной безопасности;
– внутренний аудит соответствия обработки персональных данных законодательству РФ производится в соответствии с Правилами внутреннего контроля за соответствием обработки персональных данных требованиям к защите персональных данных, планом внутренних проверок, положением об обработке и защите персональных данных;
– последствия нарушений законодательства РФ устраняются в соответствии с законодательством РФ, положением об обработке и защите персональных данных; инструкцией лица, ответственного за организацию обработки персональных данных;
– для ИСПДн разработана модель угроз безопасности персональных данных, в которой при определении опасности угроз проводится оценка вреда, который может быть причинён субъектам персональных данных в случае нарушения законодательства;
– для информационной системы персональных данных разработано техническое задание на создание системы защиты информации;
– периодическая оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;
– периодическая оценка вреда, который может быть причинён субъектам персональных данных;
– сотрудники, допущенные к обработке персональных данных, обязываются проходить инструктажи по информационной безопасности, подписывают соглашение о неразглашении персональных данных, знакомятся с документами по защите персональных данных под роспись.
Для обеспечения безопасности персональных данных приняты следующие меры:
– назначено лицо, ответственное за организацию обработки персональных данных;
– утверждены и своевременно актуализируются документы, определяющие политику ООО «ЛАБ» в отношении обработки персональных данных, организационные и технические меры, направленные на предотвращение и выявление нарушений законодательства. К таким документам относятся: план мероприятий по обеспечению безопасности персональных данных в ИСПДн; перечень персональных данных, подлежащих защите; положение о разграничении прав доступа к персональным данным; приказ об утверждении перечня лиц, допущенных к обработке персональных данных; положение о защите и обработке персональных данных; настоящая Политика в отношении обработки персональных данных; приказ об утверждении мест хранения персональных данных и лиц, ответственных за соблюдение конфиденциальности персональных данных при их хранении; инструкция пользователя ИСПДн; инструкция ответственного за организацию обработки персональных данных; приказ о назначении группы реагирования на инциденты информационной безопасности;
– внутренний аудит соответствия обработки персональных данных законодательству РФ производится в соответствии с Правилами внутреннего контроля за соответствием обработки персональных данных требованиям к защите персональных данных, планом внутренних проверок, положением об обработке и защите персональных данных;
– последствия нарушений законодательства РФ устраняются в соответствии с законодательством РФ, положением об обработке и защите персональных данных; инструкцией лица, ответственного за организацию обработки персональных данных;
– для ИСПДн разработана модель угроз безопасности персональных данных, в которой при определении опасности угроз проводится оценка вреда, который может быть причинён субъектам персональных данных в случае нарушения законодательства;
– для информационной системы персональных данных разработано техническое задание на создание системы защиты информации;
– периодическая оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;
– периодическая оценка вреда, который может быть причинён субъектам персональных данных;
– сотрудники, допущенные к обработке персональных данных, обязываются проходить инструктажи по информационной безопасности, подписывают соглашение о неразглашении персональных данных, знакомятся с документами по защите персональных данных под роспись.
7. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
Рассмотрение запросов и обращений субъектов персональных данных осуществляется в соответствии с положениями действующего законодательства Российской Федерации, а также в соответствии с локальными нормативными актами ООО «ЛАБ».
Субъекты персональных данных обладают правами:
2) правовых оснований и целей обработки персональных данных;
3) целей и применяемых Оператором способов обработки персональных данных;
4) наименование и место нахождения лиц, имеющих доступ к персональным данным;
5) состав обрабатываемых персональных данных;
6) сроки обработки данных;
Ограничения доступа субъекта к персональным данным возможны в случаях:
Сведения предоставляются субъекту при поступлении соответствующего запроса от него или его представителя.
Запрос должен содержать:
Запросы субъектов персональных данных подлежат обязательному рассмотрению сотрудниками, в обязанности которых входит обработка персональных данных.
Запросы от субъектов персональных данных и/или их представителей регистрируются в день их поступления.
Предельные сроки рассмотрения запроса субъекта персональных данных (его представителя) определяются законодательством Российской Федерации.
Субъекты персональных данных обладают правами:
- получения информации, касающейся обработки его персональных данных:
2) правовых оснований и целей обработки персональных данных;
3) целей и применяемых Оператором способов обработки персональных данных;
4) наименование и место нахождения лиц, имеющих доступ к персональным данным;
5) состав обрабатываемых персональных данных;
6) сроки обработки данных;
- требования уточнения персональных данных, их блокирования или уничтожения если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- получения информации о порядке осуществления ими своих прав;
- информацию о трансграничной передаче персональных данных в случае её осуществления;
Ограничения доступа субъекта к персональным данным возможны в случаях:
- обработки данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляемой в целях обороны страны, безопасности государства и охраны правопорядка;
- обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
- обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства;
Сведения предоставляются субъекту при поступлении соответствующего запроса от него или его представителя.
Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
- сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
- подпись субъекта персональных данных или его представителя.
Запросы субъектов персональных данных подлежат обязательному рассмотрению сотрудниками, в обязанности которых входит обработка персональных данных.
Запросы от субъектов персональных данных и/или их представителей регистрируются в день их поступления.
Предельные сроки рассмотрения запроса субъекта персональных данных (его представителя) определяются законодательством Российской Федерации.
8. Заключительные положения
Изменения, дополнения подлежат внесению в Политику в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных не реже одного раза в три года.
Контроль исполнения требований настоящей Политики возложен на ответственного за организацию обработки персональных данных Оператора.
За невыполнение требований норм, регулирующих обработку и защиту персональных данных должностные лица Оператора несут ответственность предусмотренную законодательством Российской Федерации и внутренними документами Оператора.
Ответственность должностных лиц имеющих доступ к персональным данным, определяется в соответствии с законодательством Российской Федерации и внутренними документами Оператора.
Контроль исполнения требований настоящей Политики возложен на ответственного за организацию обработки персональных данных Оператора.
За невыполнение требований норм, регулирующих обработку и защиту персональных данных должностные лица Оператора несут ответственность предусмотренную законодательством Российской Федерации и внутренними документами Оператора.
Ответственность должностных лиц имеющих доступ к персональным данным, определяется в соответствии с законодательством Российской Федерации и внутренними документами Оператора.
Чертков И.В.
Генеральный директор