Политика конфиденциальности
1. Цель Политики
1.1. Настоящий документ определяет политику kover-grad.ru в отношении обработки персональных данных и обеспечения их безопасности (далее — Политика) и является открытым (общедоступным). 1.2. Политика разработана во исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а также иных нормативных правовых актов Российской Федерации в области персональных данных, и действует в отношении всех персональных данных, обрабатываемых в kover-grad.ru (далее — Общество).
2. Термины и определения
В настоящей Политике применяются следующие термины и определения:
Общество — kover-grad.ru.
Информационная безопасность, ИБ — состояние защищенности в условиях угроз в информационной сфере.
Информационная система персональных данных, ИСПДн — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные, ПДн — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), детализация понятия дана в разделе № 5 Политики.
Политика — настоящий документ.
Субъект персональных данных, субъект ПДн — физическое лицо, которому принадлежат персональные данные.
ФЗ № 152 — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
3. Общие положения
3.1. Одним из условий реализации целей деятельности Общества является обеспечение необходимого и достаточного уровня информационной безопасности активов Общества, к которым в том числе относятся персональные данные (далее — ПДн) и процессы, в рамках которых они обрабатываются. 3.2. Обеспечение правомерной обработки ПДн и безопасности обрабатываемых ПДн является одной из приоритетных задач Общества. 3.3. Политика определяет принципы, условия и общий порядок обработки и защиты ПДн различных категорий субъектов, ПДн которых обрабатываются Обществом, и разработана с целью обеспечения защиты прав и свобод человека и гражданина при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. 3.4. ПДн относятся к конфиденциальной информации Общества и на них распространяются все требования по информационной безопасности (далее — ИБ), применяемые в Обществе для защиты конфиденциальной информации, за исключение случаев отнесения ПДн к общедоступным и/или обезличенным. 3.5. Политика является обязательной для выполнения всеми работниками Общества. 3.6. Работники Общества, должностные обязанности которых предполагают доступ к обрабатываемым в Обществе ПДн, при приеме на работу и(или) при переводе на соответствующую должность/роль должны быть ознакомлены с настоящей Политикой под роспись.
4. Принципы обработки персональных данных
4.1. Общество считает важнейшей задачей обеспечение законности и справедливости обработки ПДн, соблюдение их конфиденциальности и безопасности процессов их обработки. 4.2. В основе обработки ПДн в Обществе лежат следующие принципы:
осуществление обработки персональных данных на законной и справедливой основе;
ограничение обработки ПДн достижением конкретных, заранее определенных и законных целей;
соответствие содержания и объема обрабатываемых ПДн заявленным целям их обработки, отсутствие избыточности обрабатываемых ПДн по отношению к целям их обработки;
недопустимость объединения баз данных, содержащих ПДн, обработка которых осуществляется в несовместимых между собой целях;
обеспечение точности ПДн, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки ПДн;
хранение ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.
5. Категории обрабатываемых персональных данных
5.1. Состав обрабатываемых в Обществе ПДн формируется в соответствии с ФЗ № 152, нормативными правовыми актами Российской Федерации, а также Уставом Общества, договорами и бизнес-процессами Общества. 5.2. Общество не осуществляет обработку специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений и интимной жизни, сведений о состоянии здоровья, сведения о судимости, а также обработку биометрических ПДн.
6. Основания обработки персональных данных в Обществе
6.1. Обработка ПДн в Обществе осуществляется в следующих случаях:
обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;
обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
обработка ПДн необходима для осуществления прав и законных интересов Общества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (далее — общедоступные персональные данные);
осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
осуществляется обработка ПДн на основании поручения Оператора/Операторов персональных данных.
7. Цели обработки персональных данных в Обществе
7.1. Общество осуществляет обработку ПДн в конкретных, заранее определенных и законных целях и на законных основаниях.
8. Общий порядок обработки персональных данных
8.1. Общество осуществляет обработку ПДн как с использованием средств автоматизации, так и без использования таких средств. 8.2. В случае получения ПДн субъекта от третьей стороны, Общество уведомляет о данном факте субъекта ПДн и сообщает ему источник получения ПДн, его права в отношении обрабатываемых ПДн, наименование и адрес Общества, цели и правовое основание обработки ПДн, предполагаемых пользователей ПДн. Исключение составляют случаи, когда:
субъект ПДн уведомлен об осуществлении обработки его ПДн соответствующим оператором;
ПДн переданы в Общество на основании требований федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн;
ПДн являются общедоступными;
Общество осуществляет обработку ПДн по поручению третьего лица—оператора на основании договора, заключенного между Обществом и таким третьим лицом;
предоставление субъекту ПДн сведений, перечисленных в данном пункте, нарушает права и законные интересы третьих лиц.
8.3. Общество осуществляет передачу ПДн государственным органам и уполномоченным лицам в рамках их полномочий и компетенции в соответствии с законодательством Российской Федерации. 8.4. Представителю субъекта ПДн (в том числе адвокату) ПДн передаются в порядке, регламентированном действующим законодательством Российской Федерации и в объеме, установленном распоряжением субъекта ПДн, при наличии одного из следующих надлежащим образом оформленных документов:
оригинала нотариально удостоверенной доверенности представителя субъекта ПДн;
заявления субъекта ПДн, написанного в присутствии работника Общества и заверенного работником Общества, принявшим заявление (или заверенного нотариально, если оно составлялось не в присутствии работника Общества).
8.5. В случае если лицо, обратившееся в Общество с запросом на предоставление ПДн, не уполномочено на получение информации, относящейся к ПДн, Общество обязано отказать лицу в выдаче такой информации с соответствующим уведомлением указанного лица об отказе. 8.6. Общество может поручить обработку ПДн третьему лицу, если иное не предусмотрено законодательством Российской Федерации. При этом:
обработка третьим лицом ПДн, предоставленных Обществу субъектом ПДн (его законным представителем), может осуществляться только с согласия субъекта ПДн (его законного представителя), если получение такого согласия необходимо в соответствии с требованиями ФЗ № 152;
обработка ПДн третьим лицом может осуществляться только на основании договора, в котором определены перечень действий (операций), которые будут осуществляться с ПДн, и цели обработки, а также положения по обеспечению безопасности ПДн, в том числе требования не раскрывать и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации, а также требования в соответствии со статьей 19 ФЗ № 152.
8.7. Общество может осуществлять трансграничную передачу ПДн в случаях, предусмотренных законодательством Российской Федерации, договорами и соглашениями с международными организациями или компаниями. При этом в указанные договоры и соглашения должны быть включены положения по обеспечению адекватной защиты прав субъектов ПДн (в том числе положения по обеспечению безопасности ПДн). 8.8. Общество осуществляет деятельность по своевременному выявлению и внесению изменений в обрабатываемые ПДн с целью обеспечения их точности, достоверности и актуальности, в том числе по отношению к целям обработки ПДн. 8.9. В случае выявления неточных ПДн субъектом ПДн и при обращении субъекта ПДн или его законного представителя, либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Общество обеспечивает их блокирование с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц. 8.10. В случае подтверждения факта неточности ПДн на основании сведений, предоставленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов, Общество обеспечивает их уточнение в установленный ФЗ № 152 срок со дня предоставления таких сведений и снимает их блокирование. 8.11. В случае, если факт неточности ПДн не подтверждается на основании сведений, предоставленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов, Общество снимает их блокирование. 8.12. Хранение ПДн в форме, позволяющей идентифицировать субъекта ПДн, осуществляется не дольше, чем того требует достижение целей их обработки, если иное не установлено законодательством Российской Федерации или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. 8.13. При сборе ПДн запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн субъектов ПДн, включая граждан Российской Федерации, осуществляются с использованием баз данных, расположенных на территории Российской Федерации.
9. Обеспечение безопасности персональных данных
9.1. В Обществе принят комплекс правовых, организационных и технических мер по обеспечению безопасности ПДн, направленных на предотвращение несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ними, в том числе со стороны третьих лиц, в соответствии с требованиями ФЗ № 152 и его подзаконными актами. а 9.2. К мерам обеспечения безопасности ПДн в Обществе относятся в том числе следующие:
назначение лица, ответственного за организацию обработки ПДн в Обществе;
предоставление неограниченного доступа к настоящей Политике;
учет обрабатываемых в Обществе ПДн, категорий субъектов, ПДн которых обрабатываются. (Формы Согласий субъектов на обработку их ПДн утверждается приказом Генерального директора Общества);
учет информационных систем, в которых обрабатываются ПДн (перечень данных систем утверждается приказом Генерального директора Общества);
назначение Комиссии по приведению Общества с соответствие с требованиями законодательства Российской Федерации в области персональных данных, обрабатываемых в информационных системах персональных данных Общества, и уничтожению персональных данных;
формализация и контроль выполнения порядка обработки ПДн в Обществе;
формализация и контроль выполнения требований по уничтожению ПДн и их носителей (Формы Актов об уничтожении ПДн и их носителей утверждаются приказом Генерального директора Общества);
учет должностей работников Общества, доступ которых к персональным данным, обрабатываемым как с использованием, так и без использования средств автоматизации, необходим для выполнения служебных (трудовых) обязанностей (данный перечень утверждается приказом Генерального директора Общества);
обеспечение ознакомления под роспись работников Общества, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн и настоящей Политикой (Форма листа ознакомления утверждается приказом Генерального директора Общества);
контроль и разграничение доступа работников Общества и иных лиц к обрабатываемым в Обществе ПДн;
восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
включение положений по обеспечению безопасности ПДн в договоры с третьими лицами, которым передаются ПДн, в том числе требования по соблюдению конфиденциальности переданных ПДн;
организация режима обеспечения безопасности помещений, в которых размещены ИСПДн, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
осуществление регулярного внутреннего контроля/аудита соответствия обработки и обеспечения безопасности ПДн действующему законодательству Российской Федерации в области обработки и обеспечения безопасности ПДн.
10. Сроки обработки персональных данных
10.1. Сроки обработки ПДн определяются в соответствии с необходимыми сроками для достижения заявленных в Обществе целей обработки ПДн. Архивное хранение ПДн осуществляется в соответствие с требованиями действующего законодательства Российской Федерации, в том числе Приказом Минкультуры Российской Федерации от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения».
11. Прекращение обработки персональных данных
11.1. Обработка ПДн прекращается, а собранные ПДн уничтожаются или обеспечивается прекращение обработки ПДн и их уничтожение (если обработка осуществляется другим лицом, действующим по поручению Общества) в следующих случаях и в сроки, установленные ФЗ № 152, если иное не установлено законодательством Российской Федерации:
по истечению установленного срока обработки ПДн;
по достижении целей обработки ПДн или при утрате необходимости в их достижении;
при отзыве субъектом ПДн согласия на обработку своих ПДн, если такое согласие требуется в соответствии с законодательством Российской Федерации;
по требованию субъекта ПДн или Уполномоченного органа по защите прав субъектов ПДн — если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
в случае выявления неправомерной обработки ПДн Обществом или лицом, действующим по его поручению, если обеспечить правомерность обработки ПДн невозможно.
12. Взаимодействие с федеральными органами исполнительной власти
12.1. Взаимодействие с федеральными органами исполнительной власти, в том числе с уполномоченным органом по защите прав субъектов ПДн, по вопросам обработки и обеспечения безопасности обрабатываемых Обществом ПДн, осуществляется в соответствии с законодательством Российской Федерации.
13. Взаимодействие с субъектами персональных данных
13.1. Общество способствует реализации законных прав субъектов ПДн и осуществляет реагирование на запросы и обращения субъектов ПДн, в том числе предоставление им информации, связанной с обработкой их ПДн, в соответствии с требованиями законодательства Российской Федерации. 13.2. Описание закрепленных законодательством Российской Федерации прав субъектов ПДн приведено в разделе 14 настоящей Политики.
14. Права и обязанности
14.1. Субъект ПДн имеет право:
принимать решение о предоставлении своих ПДн и давать согласие на их обработку свободно, своей волей и в своём интересе;
требовать уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
получать информацию, касающуюся обработки своих ПДн, на основании запроса и в порядке, установленном ФЗ № 152;
на отзыв согласия на обработку своих ПДн, если наличие такого согласия требуется в соответствии с законодательством Российской Федерации;
требовать извещения всех лиц, обрабатывающих ПДн по поручению Общества, которым ранее были сообщены неверные или неполные его ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях;
обжаловать в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке неправомерные действия или бездействия при обработке его ПДн;
на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
осуществлять иные права, предусмотренные законодательством Российской Федерации.
14.2. Субъект ПДн обязан:
предоставлять достоверные ПДн и подтверждать их достоверность путем предъявления оригиналов документов или их надлежащим образом заверенных копий;
своевременно информировать Общество об изменении своих ПДн.
14.3. Общество, как оператор ПДн, имеет право:
отстаивать свои интересы в суде;
предоставлять ПДн субъектов государственным и иным уполномоченным органам, если это предусмотрено действующим законодательством Российской Федерации (налоговые, правоохранительные органы и др.);
отказывать в предоставлении ПДн в случаях, предусмотренных законодательством Российской Федерации;
обрабатывать ПДн субъекта без его согласия, в случаях, предусмотренных законодательством Российской Федерации;
осуществлять иные права, предусмотренные законодательством Российской Федерации.
14.4. Общество, как оператор ПДн, обязано:
осуществлять обработку и защиту ПДн в соответствии с требованиями нормативных правовых актов Российской Федерации в области обработки и обеспечения безопасности ПДн;
уведомлять субъекта об обработке его ПДн в случае получения ПДн от третьих лиц, если иное не установлено законодательством Российской Федерации;
предоставлять субъекту ПДн информацию, касающуюся обработки его ПДн, по запросу субъекта, за исключением случаев, предусмотренных законодательством Российской Федерации;
проверять достоверность предоставляемых субъектом ПДн или его законным представителем данных путем их сверки с информацией, содержащейся в оригиналах документов или их надлежащим образом заверенных копиях, предъявляемых субъектом ПДн или его законным представителем;
разъяснять субъекту ПДн юридические последствия отказа в предоставлении его ПДн, если предоставление ПДн является обязательным в соответствии с законодательством Российской Федерации;
организовать прием и обработку обращений и запросов субъектов ПДн или их представителей;
организовать прием и обработку запросов уполномоченных органов.
15. Заключительные положения
15.1. Настоящая Политика утверждается приказом Генерального директора Общества и публикуется на сайтах Общества в открытом доступе. 15.2. Ответственность за контроль соблюдения настоящей Политики возлагается на лицо, назначенное Ответственным за организацию обработки ПДн в Обществе. 15.3. Политика пересматривается и актуализируется при изменении законодательства Российской Федерации в области обработки и обеспечения безопасности ПДн, а также при изменении процессов обработки ПДн в Обществе, но не реже, чем раз в 3 (три) года. 15.4. Любые изменения и/или дополнения в настоящую Политику вступают в силу с даты утверждения Генеральным директором Общества новой версии документа. 15.5. Вопросы, которые не урегулированы настоящей Политикой, разрешаются в соответствии с законодательством Российской Федерации.