5. Порядок и условия обработки персональных данных.
5.1 Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»:
- обработка ПДн должна осуществляться на законной и справедливой основе;
- обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей, не допускается обработка, несовместимая с целями сбора ПД;
- не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только ПДн, которые отвечают целям их обработки;
- содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки, обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- при обработке ПДн должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки, оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
- хранение ПДн должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.2 Оператор не осуществляет обработку биометрических (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) персональных данных.
5.3 Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни; осуществляет обработку персональных данных, касающихся состояния здоровья, относящихся к вопросу о возможности выполнения трудовой функции в соответствии с подпунктом 2.3. пункта 2 части 2 статьи 10 Федерального закона от 27.07.2006 ФЗ-152 «О персональных данных».
5.4 Оператор не осуществляет трансграничную передачу персональных данных (передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу).
5.5. Обработка персональных данных осуществляется:
– с согласия субъекта персональных данных на обработку его персональных данных;
– без согласия субъекта персональных данных в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;
- согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
5.6. Обработка персональных данных субъектов ПДн в ООО «УК «Красотель» включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
5.7. Получение сведений о персональных данных осуществляется на основании документов и информации, предоставленных лично самим субъектом ПДн. Оператор должен разъяснить субъекту юридические последствия отказа предоставления его ПДн.
5.8. Если ПДн субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее, и от него должно быть получено согласие.
Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПДн, характере подлежащих получению ПДн, перечне действий с ПДн, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.
5.9. Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение) субъектов ПДн в ООО «УК «Красотель» осуществляется путем:
- получения оригиналов необходимых документов;
- внесения сведений в учетные формы (на бумажных и электронных носителях);
- формирования ПДн в ходе осуществления трудовых, гражданско-правовых отношений, договорных отношений по оказанию гостиничных и туристских услуг и поставкам товаров и услуг, рассмотрения кандидатур (соискателей) на замещение вакантных должностей;
- внесения ПДн в информационные системы ООО «УК «Красотель».
5.10. Обработка ПДн в ООО «УК «Красотель» ведется:
- с использованием средств автоматизации;
- без использования средств автоматизации.
5.11. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных.
5.12. Хранение ПДн субъектов в ООО «УК «Красотель»:
- ПДн субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде.
- ПДн субъектов, зафиксированные на бумажных носителях, хранятся в запираемых сейфах и шкафах, в запираемых помещениях с ограниченным правом доступа;
- ПДн субъектов, обрабатываемые с использованием средств автоматизации, хранятся в разных папках;
- не допускается хранение и размещение документов, содержащих ПДн, в открытых электронных каталогах (файлообменниках) в ИСПДн.
5.13. Передача (предоставление и доступ) и использование ПДн субъектов осуществляется лишь в случаях и порядке, предусмотренных федеральными законами.
5.14. Оператор передает ПДн субъектов третьим лицам в следующих случаях:
- субъект выразил свое согласие на такие действия;
- передача предусмотрена российским законодательством в рамках установленной процедуры.
5.15. Перечень лиц, которым передаются ПДн субъектов:
- Социальный фонд РФ (на законных основаниях);
- Налоговые органы РФ (на законных основаниях);
- Территориальный фонд обязательного медицинского страхования (на законных основаниях);
- Органы МВД России в случаях, установленных законодательством;
- Военные комиссариаты в случаях, установленных законодательством;
- Иные органы, когда обязанность передачи им сведений, относящихся к персональным данным субъекта, закреплена законом, либо необходима для достижения установленных законом целей (например, органы дознания, следствия, суды, и т.п.).
5.16. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора поручения.
6. Меры по обеспечению безопасности персональных данных при их обработке.
6.1 Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, использования персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.2 Обеспечение безопасности персональных данных достигается, в частности:
- назначением Оператором ответственного за организацию обработки персональных данных, ответственных за обработку персональных данных, администратора безопасности информационных систем персональных данных и ответственного за обеспечение защиты персональных данных;
- изданием Оператором документов, определяющих политику Оператора в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
- осуществлением внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативно-правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки ПДн, локальным актам Оператора;
- оценкой вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых мер Оператором, направленных на обеспечение выполнения обязанностей Оператора;
- ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки ПДн, локальными актами по вопросам обработки персональных данных, и (или) обучением указанных работников;
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
- применением средств защиты информации и их учетом в соответствующем журнале;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учетом машинных носителей персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
- обеспечением раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
- определением перечня сотрудников, осуществляющих обработку персональных данных, мест хранения персональных данных;
- исключением возможности неконтролируемого пребывания посторонних лиц в помещениях, где ведется обработка персональных данных;
- определением уровней защищенности персональных данных при их обработке в информационных системах персональных данных;
- организацией парольной и антивирусной защиты в информационных системах персональных данных организации;
- информированием лиц, осуществляющих обработку ПДн без использования средств автоматизации, об особенностях и правилах осуществления такой обработки.
7. Права субъектов персональных данных и обязанности оператора.
7.1. Основные права субъекта ПДн:
7.1.1. Субъект имеет право на доступ к его ПДн, получение информации, касающейся обработки его ПДн:
- подтверждение факта обработки ПДн Оператором;
- правовые обоснования и цели обработки ПДн;
- применяемые Оператором способы обработки ПДн;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки ПДн, в том числе сроки их хранения Оператором;
- порядок осуществления субъектом ПДн прав, предусмотренных законодательством Российской Федерации в области обработки ПДн;
- наименование организации или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такой организации или лицу;
- иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.
7.1.2 Субъект персональных данных вправе требовать от Оператора уточнения обрабатываемых Оператором персональных данных субъекта ПДн, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.1.3. Сведения, касающиеся обработки ПДн, должны быть предоставлены Оператором субъекту ПДн в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.
7.1.4. Право субъекта персональных данных на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта ПДн к его персональным данным нарушает права и законные интересы третьих лиц.
7.1.5. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору, направить ему запрос. Оператор рассматривает любые обращения со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
7.1.6. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
7.1.7. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
7.2. Обязанности Оператора:
7.2.1. Оператор обязан:
- при сборе ПДн предоставить информацию об обработке персональных данных;
- в случаях, если ПДн были получены не от субъекта персональных данных, уведомить субъекта;
- при отказе в предоставлении ПДн субъекту разъясняются последствия такого отказа;
- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн;
- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
- давать ответы на запросы и обращения субъектов ПДн, их представителей и уполномоченного органа по защите прав субъекта ПДн.
8. Сроки обработки (хранения) персональных данных.
8.1. Течение срока обработки персональных данных начинается с момента их получения Оператором.
8.2. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъект персональных данных не дольше, чем того требуют цели их обработки.
8.3. Персональные данные работников Оператора, в том числе родственников работников, используются в течение трудовой деятельности в соответствии с трудовым договором, а также на протяжении установленного законодательством РФ срока хранения согласностатьи 22.1приказом Росархива от 20 декабря 2019 г. № 236
8.4. Персональные данные кандидатов на замещение вакантных должностей должны быть уничтожены в течение 30 дней с момента отказа в трудоустройстве (приема на работу).
8.5. Персональные данные клиентов оператора,контрагентов оператора и представителей контрагентов оператора, физических лиц, состоящих в гражданско-правовых отношениях, хранятся согласноприказом Росархива от 20 декабря 2019 г. № 236
8.6. Срок хранения ПДн, внесенных в ИСПДн организации, должен соответствовать сроку хранения бумажных оригиналов.
9. Уточнение, блокирование и уничтожение персональных данных.
9.1. Целью уточнения персональных данных, в том числе обновления и изменения, является обеспечение достоверности, полноты и актуальности персональных данных, обрабатываемых Оператором.
9.2. Уточнение персональных данных осуществляется Оператором по собственной инициативе, по требованию субъекта персональных данных или его представителя, по требованию уполномоченного органа по защите прав субъектов персональных данных в случаях, когда установлено, что персональные данные являются неполными, устаревшими, недостоверными.
9.3. Целью блокирования персональных данных является временное прекращение обработки персональных данных до момента устранения обстоятельств, послуживших основанием для блокирования персональных данных.
9.4. Блокирование персональных данных осуществляется Оператором по требованию субъекта персональных данных или его представителя, а также по требованию уполномоченного органа по защите прав субъектов персональных данных в случае выявления недостоверных персональных данных или неправомерных действий с ними.
9.5. Уничтожение персональных данных осуществляется Оператором:
- по достижении цели обработки персональных данных;
- в случае утраты необходимости в достижении целей обработки персональных данных;
- в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных;
- по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных в случае выявления фактов неправомерных действий с персональными данными, когда устранить соответствующие нарушения не представляется возможным.
9.6. При уничтожении материальных носителей персональных данных составляется акт об уничтожении носителей, содержащих персональные данные.
10. Заключительные положения.
10.1. Настоящая Политика является внутренним общедоступным документом Оператора, подлежит размещению для неограниченного доступа субъектов ПДн в кабинете отдела бухгалтерского учета и отчетности, службы приема и размещения, старшего инспектора по кадрам, на официальном сайте Оператора.
10.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
10.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных.
10.4. Ответственность должностных лиц Оператора, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Оператора.