Политика в отношении обработки персональных данных в ООО «БЛИСС»
1. Общие положения
1.1. Политика обработки персональных данных в ООО «БЛИСС» (далее —Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в ООО «БЛИСС» персональных данных, функции
ООО «БЛИСС» при обработке персональных данных, права субъектов персональных данных, а также реализуемые в ООО «БЛИСС» требования к защите персональных данных.
1.2. Настоящая Политика в отношении обработки персональных данных разработана в соответствии с ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в ООО «БЛИСС» с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в ООО «БЛИСС» вопросы обработки персональных данных работников ООО «БЛИСС» и других субъектов персональных данных.
1.4. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые ООО «БЛИСС» с применением средств автоматизации и без применения таких средств.
1.5. Настоящая Политика вводится в действие приказом директора ООО «БЛИСС».
2. Законодательные и иные нормативные правовые акты, в соответствии с которыми осуществляется обработка персональных данных в ООО «БЛИСС»
2.1. Политика обработки персональных данных в ООО «БЛИСС» определяется в соответствии со следующими нормативными правовыми актами:
-Конституция Российской Федерации;
-Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
-Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
-Трудовой кодекс Российской Федерации;
-постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой
без использования средств автоматизации»;
-постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
-постановление Правительства Российской Федерации от 06 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных
и технологиям хранения таких данных вне информационных систем персональных данных»;
-приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных
данных»;
-приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
-иные федеральные нормативные правовые акты и нормативные документы уполномоченных органов государственной власти.
2.2. Для регламентирования процедур и процессов обработки ПДн ООО «БЛИСС» вправе издавать внутренние нормативные документы, содержащие требования по защите и порядку обработки ПДн..
3. Основные понятия и определения.
Персональные данные(далее –ПДн) –любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Информация–сведения (сообщения, данные) независимо от формы их представления.
Оператор–государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных–любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных–обработка персональных данных с помощью средств вычислительной техники.
Предоставление персональных данных–действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных–действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Трансграничная передача персональных данных–передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Блокирование персональных данных–временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
Уничтожение персональных данных–действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных–действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных–совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Общество–ООО «БЛИСС».
Клиенты–физические лица и юридические лица, с которыми у Общества установлены в настоящее время, ранее уже были установлены гражданско-правовые отношения, либо которые своими действиями выражают намерение установить такие отношения.
Посетители–физические лица, в отношении которых осуществляются мероприятия по контролю доступа на защищаемые объекты Общества.
Сотрудники –штатные Работники Общества, с которыми у ООО «БЛИСС» заключен трудовой договор, либо внештатные совместители на основании гражданско-правовых договоров.
4. Сроки обработки персональных данных.
4.1. Сроки обработки ПДн определяются в соответствии со сроком действия гражданско-правовых отношений между субъектом ПДн и Обществом; сроком исковой давности; сроками, указанными в согласии субъекта ПДн; сроками, установленными Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих
архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»; сроками хранения медицинской документации, установленными Приказом Минздрава СССР от 04 октября 1980 г. № 1030 «Об утверждении форм первичной медицинской документации учреждений здравоохранения», а также иными требованиями законодательства РФ и
нормативными документами Общества.
4.2. В Обществе создаются и хранятся документы, содержащие сведения о субъектах ПДн. Требования к использованию в Обществе данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств
автоматизации».
4.3. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5. Принципы и цели обработки Пдн.
5.1. ООО «БЛИСС», являясь оператором ПДн, осуществляет обработку ПДн работников ООО «БЛИСС» и других субъектов Пдн, не состоящих с ООО «БЛИСС» в трудовых отношениях.
5.2. Обработка ПДн в ООО «БЛИСС» осуществляется с учетом необходимости обеспечения защиты прав и свобод работников ООО «БЛИСС» и других субъектов ПДн, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
-обработка ПДн осуществляется в ООО «БЛИСС» на законной и справедливой основе;
-обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
-не допускается обработка ПДн, несовместимая с целями сбора ПДн;
-не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
-обработке подлежат только ПДн, которые отвечают целям их обработки;
-содержание и объем обрабатываемых ПДн соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых Пдн по отношению к заявленным целям их обработки;
-при обработке ПДн обеспечиваются точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. ООО «БЛИСС» принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных ПДн;
-хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем того требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
-обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.3. ПДн обрабатываются в ООО «БЛИСС» в целях:
-обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов ООО «БЛИСС»;
-осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на ООО «БЛИСС», в том числе по предоставлению ПДн в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
-регулирования трудовых отношений с работниками ООО «БЛИСС» (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
-предоставления работникам ООО «БЛИСС» дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;
-защиты жизни, здоровья или иных жизненно важных интересов субъектов ПДн;
-подготовки, заключения, исполнения и прекращения договоров с контрагентами;
-формирования справочных материалов для информационного обеспечения деятельности ООО «БЛИСС»;
-исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
-осуществления прав и законных интересов ООО «БЛИСС» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами ООО «БЛИСС», или третьих лиц либо достижения общественно значимых целей;
-в иных законных целях.
5.4. ООО «БЛИСС» собирает ПДн только в объеме, необходимом для достижения названных целей. Допускаются иные цели обработки ПДн в случае, если указанные действия не противоречат действующему законодательству, деятельности Общества и на проведение указанной обработки получено согласие клиента Общества.
6. ПДн, обрабатываемые в ООО «БЛИСС».
6.1. Перечень обрабатываемых ПДн, подлежащих защите в ООО «БЛИСС», формируется
в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Уставом и внутренними нормативными документами Общества.
6.2. ПДн клиентов Общества –это любая информация, относящаяся к прямо или косвенно определенному или определяемому клиенту ООО «БЛИСС» (субъекту ПДн) –физическому лицу.
6.3. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в ООО «БЛИСС» не осуществляется.
6.4. Общество не вправе производить обработку данных о судимости клиента, за исключением в случаях и в порядке, которые определяются в соответствии с федеральными законами.
6.5. Данные о здоровье обрабатываются Обществом только в том случае, если эти данные прямо относятся к возможности субъекта персональных данных исполнять свои обязательства перед Обществом либо используются в целях исполнения требований действующего законодательства.
6.6. В случае если обработка специальных категорий ПДн клиента Общества необходима по действующему законодательству или для осуществления деятельности Общества, то такая обработка осуществляется с письменного согласия клиента, за исключением случаев, предусмотренных законодательством Российской Федерации в области ПДн.
6.7. Общество не обрабатывает сведения, которые характеризуют физиологические особенности клиентов и на основе которых можно установить их личность. В соответствие с требованиями ГОСТ Р ИСО/МЭК.
19794-5-2006 «Автоматическая идентификация. Идентификация биометрическая. Данные изображения лица» система охранного видеонаблюдения, используемая в Обществе, не обрабатывает биометрические ПДн, на основании которых возможно идентифицировать
личность клиента Общества. Сканирование фотографий в документах, идентифицирующих личность клиентов (например, в паспортах), в Обществе не осуществляется. Передаваемые в рамках договоров копии паспортов (документов, удостоверяющих личность) клиентов не соответствуют требованиям, предъявляемым к форматам записи изображения, установленными ГОСТ Р ИСО/ МЭК 19794-5-2006.
6.8. В случае если обработка биометрических ПДн клиента Общества необходима по действующему законодательству или для осуществления деятельности Общества, то такая обработка осуществляется с письменного согласия клиента, за исключением случаев, предусмотренных законодательством Российской Федерации в области ПДн.
6.9. В целях информационного обеспечения могут создаваться общедоступные источники ПДн (в том числе справочники, адресные книги). В общедоступные источники ПДн с письменного согласия субъекта Пдн могут включаться его фамилия, имя, отчество, год и место рождения, адрес, включая адрес электронной почты, клиентский номер, IP-адрес, сведения о профессии и иные ПДн, сообщаемые субъектом ПДн или находящиеся в Перечне ПДн. Сведения о согласия субъекта ПДн должны быть в любое время исключены из общедоступных источников ПДн по запросу согласия субъекта ПДн либо по решению суда или иных уполномоченных государственных органов. В случае обработки общедоступных ПДн согласия субъекта ПДн обязанность доказывания того, что обрабатываемые Пдн являются общедоступными, возлагается на Общество.
7.Функции ООО «БЛИСС» при осуществлении обработки Пдн.
7.1. ООО «БЛИСС» при осуществлении обработки ПДн:
-принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов ООО «БЛИСС» в области ПДн;
-принимает правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении ПДн;
-назначает лицо, ответственное за организацию обработки ПДн в ООО «БЛИСС»;
-издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты ПДн в ООО «БЛИСС»;
-осуществляет ознакомление работников ООО «БЛИСС», непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации и локальных нормативных актов ООО «БЛИСС» в области ПДн, в том числе требованиями
к защите ПДн, и обучение указанных работников;
-публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
-сообщает в установленном порядке субъектам ПДн или их представителям информацию о наличии ПДн, относящихся к соответствующим субъектам, предоставляет возможность
ознакомления с этими ПДн при обращении и (или) поступлении запросов указанных субъектов ПДн или их представителей, если иное не установлено законодательством Российской Федерации;
-прекращает обработку и уничтожает ПДн в случаях, предусмотренных законодательством Российской Федерации в области ПДн;
-совершает иные действия, предусмотренные законодательством Российской Федерации в области Пдн.
8. Условия обработки персональных данных в ООО «БЛИСС».
8.1. Субъект ПДн является собственником своих ПДн и самостоятельно решает вопрос передачи Обществу своих ПДн.
8.2. Держателем ПДн является Общество, которому субъект Пдн передает во владение свои ПДн. Общество выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.
8.3. Обработка ПДн клиентов осуществляется с их согласия на обработку их ПДн, а также в иных случаях, предусмотренных статьей 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Согласие на обработку ПДн может бытьдано клиентом или его законным представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку ПДн от представителя клиента полномочия данного представителя проверяются Обществом. Форма согласия может быть в письменной, конклюдентной или иной форме, предусмотренной действующим законодательством. При недееспособности клиента
письменное согласие на обработку его данных дает его законный представитель.
8.4. В случаях, предусмотренных Федеральным законом от 27.07.2006
№ 152-ФЗ «О персональных данных», обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн.
8.5. В соответствии со статьей 158 Гражданского кодекса Российской Федерации конклюдентное или подразумеваемое согласие –это действия лица, выражающие его волю установить правоотношение (например, совершить сделку), но не в форме устного или
письменного волеизъявления, а поведением, по которому можно сделать заключение о таком намерении. Клиенты Общества дают конклюдентное согласие на обработку их ПДн в том числе в следующих случаях:
Виды обработки ПДн |
Цель обработки |
Обрабатываемые ПДн |
Заполнение анкет, в т.ч. и на web-сайте Общества |
-предоставлениеинформации о товарах, услугах, которые потенциально могут представлять интерес; -проведение социологических и других исследований, включая исследования степенью удовлетворенности качеством оказанных услуг в ООО «БЛИСС», в том числе через формы на web-сайте Общества; -предоставление on-line консультаций посредством специальных форм на web-сайте Общества. |
Фамилия, имя, отчество, телефон, адрес электронной почты |
8.6.Общество вправе выступать агентом по обработке ПДн по поручению Оператора –юридического лица на основании заключенного с Оператором договора. Общество, при осуществлении обработки ПДн по поручению Оператора, обязано выполнять требования Оператора и соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом «О персональных данных» и не обязано получать согласие субъекта ПДн на обработку его персональных данных.
9. Перечень действий с ПДн и способы их обработки.
9.1. ООО «БЛИСС» осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
9.2. Обработка ПДн в ООО «БЛИСС» осуществляется следующими способами:
-неавтоматизированная обработка ПДн;
-автоматизированная обработка ПДн с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
-смешанная обработка Пдн.
10. Права субъектов Пдн.
10.1. Субъекты ПДн имеют право на:
-полную информацию об их ПДн, обрабатываемых в ООО «БЛИСС»;
-доступ к своим ПДн, включая право на получение копии любой записи, содержащей их ПДн, за исключением случаев, предусмотренных федеральным законом, а также на доступ
к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
-уточнение своих ПДн, их блокирование или уничтожение в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
-отзыв согласия на обработку ПДн;
-принятие предусмотренных законом мер по защите своих прав;
-обжалование действия или бездействия ООО «БЛИСС», осуществляемого с нарушением требований законодательства Российской Федерации в области ПДн, в уполномоченный орган по защите прав субъектов ПДн или в суд;
- осуществление иных прав, предусмотренных законодательством Российской Федерации.
-
11. Меры, принимаемые ООО «БЛИСС» для обеспечения выполнения обязанностей оператора при обработке Пдн.
11.1. Меры, необходимые и достаточные для обеспечения выполнения ООО «БЛИСС» обязанностей оператора, предусмотренных законодательством Российской Федерации в области ПДн, включают:
· назначение лица, ответственного за организацию обработки Пдн в ООО «БЛИСС»;
· принятие локальных нормативных актов и иных документов в области обработки и защиты ПДн;
· организацию обучения и проведение методической работы с работниками структурных подразделений ООО «БЛИСС», занимающими должности, включенные в перечень должностей замещение которых предусматривает обработку ПДн;
· получение согласий субъектов ПДн на обработку их ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации;
· обособление ПДн, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях ПДн,в специальных разделах;
· обеспечение раздельного хранения ПДн и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории ПДн;
· установление запрета на передачу ПДн по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны ООО «БЛИСС» и сетям без применения установленных в ООО «БЛИСС» мер по обеспечению безопасности ПДн (за исключением ПДн , признанных общедоступными и/или обезличенными);
· хранение материальных носителей ПДн с соблюдением условий, обеспечивающих сохранность ПДн и исключающих несанкционированный доступ к ним;
· осуществление внутреннего контроля соответствия обработки Пдн Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, настоящей Политике, локальным
нормативным актам ООО «БЛИСС»;
· иные меры, предусмотренные законодательством Российской Федерации в области ПДн.
11.2. Меры по обеспечению безопасности ПДн при их обработке в информационных системах ПДн устанавливаются в соответствии с локальными нормативными актами ООО «БЛИСС», регламентирующими вопросы обеспечения безопасности ПДн при их обработке в информационных системах ПДн ООО «БЛИСС».
12. Заключительные положения.
12.1. Настоящая Политика является общедоступной, хранится по фактическому нахождению ООО «БЛИСС» и подлежит опубликованию на интернет-сайте ООО «БЛИСС» www.bliss64.ru.
12.2. Политика действует в отношении всей информации, которую администрация сайта ООО «БЛИСС» может получить о пользователе сервисов сайта. Использование сервисов сайта
означает безоговорочное согласие пользователя с настоящей Политикой и указанными в ней условиями обработки его персональной информации, в случае несогласия с этими условиями, пользователь должен воздержаться от использования сервисов сайта.
12.3. Настоящая Политика подлежит изменению, дополнению в случае внесения изменений в действующие законодательные акты и появления новых законодательных актов, и специальных нормативных документов по обработке и защите ПДн.
12.4. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки ПДн Общества.
12.5. Ответственность должностных лиц Общества, имеющих доступ к ПДн, за невыполнение требований норм, регулирующих обработку и защиту ПДн, определяется в соответствии с законодательством РФ.