Политика компании ИРБИС в отношении обработки персональных данных

1 ОБЩИЕ ПОЛОЖЕНИЯ

1.1 Настоящий документ определяет политику ЗАО «Строительная компания «ИРБИС» (далее – Оператор) в отношении обработки персональных данных (далее – ПДн).

1.2 Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации о ПДн и направлена на защиту прав и свобод физических лиц, ПДн которых обрабатывает Оператор.

1.3 Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению ПДн, осуществляемые с использованием средств автоматизации и без использования таких средств.

1.4 Политика содержит сведения, подлежащие раскрытию в соответствии с ч. 1 ст. 14 Федерального закона №152-ФЗ «О персональных данных» и является общедоступным документом.

2 ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обработка ПДн осуществляется на основе следующих принципов:

2.1 Обработка ПДн осуществляется на законной и справедливой основе и ограничивается достижением конкретных заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.

2.2 Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместных между собой.

2.3 Обработке подлежат только те ПДн, содержание и объем которых соответствуют заявленным целям обработки. Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям обработки.

2.4 При обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.

2.5 Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2.6 Базы данных информации, содержащей ПДн граждан РФ, находятся на территории РФ.

3 УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1 Обработка ПДн осуществляется с соблюдением принципов и правил, установленных Федеральным законом «О персональных данных» №152-ФЗ. Обработка ПДн допускается в следующих случаях:

а. Обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;

б. Обработка ПДн необходима для достижения целей, предусмотренных законодательством Российской Федерации, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей, осуществления прав и законных интересов Оператора, работников Оператора и третьих лиц;

в. Обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

г. Обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;

д. Обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

е. Обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;

ж. Обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн (за исключением обработки ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи);

з. Осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн, либо по его просьбе (далее – ПДн, сделанные общедоступными субъектом ПДн);

и. Осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

3.2 Оператор может включать ПДн субъектов в общедоступные источники ПДн, при этом Оператор берет письменное согласие субъекта на обработку ПДн.

3.3 Оператор может осуществлять обработку специальных категорий ПДн, касающихся состояния здоровья субъекта ПДн, при этом Оператор обязуется брать письменное согласие субъекта на обработку его ПДн.

3.4 Биометрические ПДн (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн) в Компании не обрабатываются.

3.5 Оператор осуществляет трансграничную передачу ПДн только на территорию иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн.

3.6 Принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, не осуществляется.

3.7 При отсутствии необходимости письменного согласия субъекта на обработку его ПДн согласие субъекта может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме.

3.8 Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее – поручение оператора). При этом Оператор в договоре обязует лицо, осуществляющее обработку ПДн по поручению Компании, соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом «О персональных данных».

3.9 В случае если Оператор поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Оператор. Лицо, осуществляющее обработку ПДн по поручению Компании, несет ответственность перед Компанией.

3.10 Оператор обязуется и обязует иные лица, получившие доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

4 ОБЯЗАННОСТИ КОМПАНИИ

В соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» Оператор обязан:

4.1 Предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить обоснованный отказ.

4.2 По требованию субъекта ПДн уточнять обрабатываемые ПДн, блокировать или удалять, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

4.3 Вести Журнал учета обращений субъектов ПДн, в котором должны фиксироваться запросы субъектов ПДн на получение сведений о ПДн, а также факты предоставления ПДн по этим запросам.

4.4 В случае достижения цели обработки ПДн незамедлительно прекратить обработку ПДн и уничтожить соответствующие ПДн в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Оператором и субъектом ПДн, либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных №152-ФЗ «О персональных данных» или другими федеральными законами.

4.5 В случае отзыва субъектом ПДн согласия на обработку своих ПДн, прекратить обработку ПДн и уничтожить ПДн в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом ПДн. Об уничтожении ПДн Оператор обязан уведомить субъекта ПДн.

4.6 В случае поступления требования субъекта ПДн о прекращении обработки его ПДн в целях продвижения товаров, работ, услуг на рынке немедленно прекратить обработку ПДн.

4.7 Уведомлять субъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от субъекта ПДн. Исключение составляют следующие случаи:

а. Субъект ПДн уведомлен об осуществлении обработки его ПДн соответствующим оператором;

б. ПДн получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн;

в. ПДн сделаны общедоступными субъектом ПДн или получены из общедоступного источника;

г. Оператор осуществляет обработку ПДн для статистических или иных исследовательских целей, для осуществления профессиональной деятельности либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта ПДн;

д. Предоставление субъекту ПДн сведений, содержащихся в Уведомлении об обработке ПД, нарушает права и законные интересы третьих лиц.

5 МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

5.1 При обработке ПДн Оператор принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

5.2 Обеспечение безопасности ПДн достигается, в частности:

а. Определением угроз безопасности ПДн при их обработке в информационных системах ПДн;

б. Применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;

в. Применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

г. Оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;

д. Учетом машинных носителей ПДн;

е. Обнаружением фактов несанкционированного доступа к ПДн и принятием мер;

ж. Восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

з. Установлением правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в информационной системе ПДн;

и. Контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн.

Адрес для обращений по обработке ПДн: info@irbiscompany.ru