Политика ООО "НПО "ЦОДИТ" в отношении обработки персональных данных

УТВЕРЖДЕНО
Генеральный директор ООО "НПО "ЦОДИТ"
"11" января 2021 г.

1. Общие положения:

1.1. Настоящая Политика в отношении обработки персональных данных (далее - «Политика») разработана в соответствии с п.2 ч.1 ст.18.1 Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и определяет позицию ООО "НПО "ЦОДИТ" (далее - «Оператор», «Компания») в области обработки и защиты персональных данных (далее - «Данные»).
1.2. Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передачи (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению, защиты персональных данных, осуществляемых с использованием средств автоматизации и без использования таких средств.
1.3. Под Данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (гражданину), те есть к такой информации, в частности, относятся: фамилия, имя, отчество, дата и место рождения, адрес, сведения о семейном, социальном и имущественном положении, сведения об образовании, профессии, номер телефона, адрес электронной почты.
1.4. Под безопасностью Данных понимается их защищенность он неправомерного и (или) несанкционированного доступа к ним, уничтожения, изменения, копирования, предоставления, распространения Данных, а также от иных неправомерных действий в отношении Данных.
1.5. Понятия, содержащиеся в ст. 3 Закона о персональных данных, используются в настоящей Политике с аналогичным значением.
1.6. Настоящая Политика распространяется на Данные, полученные как до, так и после ввода в действие настоящей Политики.


2. Принципы и цели обработки персональных данных:

2.1. Обработка персональных данных осуществляется на основе следующих принципов:
- обработка персональных данных осуществляется на законной и справедливой основе;
- персональные данные не раскрываются третьим лицам и не распространяются без согласия субъекта Данных, за исключением случаев, требующих раскрытия Данных по запросу уполномоченных государственных органов, судопроизводства;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместных между собой;
- обработке подлежат только те персональные данные, которые отвечают целям их обработки;
- Оператор осуществляет сбор только тех данных, которые являются необходимыми и достаточными для заявленной цели обработки;
- при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.
- обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.2. Оператор осуществляет обработку Данных в следующих целях:
- Работников Оператора в целях: соблюдения трудового, налогового и пенсионного законодательства Российской Федерации;
- Кандидатов на вакантные должности в целях: принятия решения о возможности заключения трудового договора с лицами, претендующих на занятие открытых вакансий в Оператора;
- Контрагентов — физических лиц в целях: заключения и исполнения договоров;
- Осуществление иных функций, полномочий и обязанностей, возложенных на Оператора законодательством РФ.


3. Условия обработки персональных данных:

3.1. Обработка персональных данных осуществляется Оператором при условии получения согласия субъекта персональных данных (далее - Согласие), за исключением установленных законодательством РФ случаев, когда обработка персональных данных может осуществляться без такого Согласия.
3.2. Оператор без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.
3.3. Оператор не осуществляет обработку данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений.
3.4. Оператор не осуществляет трансграничную передачу Данных.
3.5. Оператор не включает Данные субъектов в общедоступные источники Данных.
3.6. Обработка Данных в Оператора осуществляется как с использованием, так и без использования средств автоматизации. Совокупность операция обработки включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Данных.
3.7. Согласие может быть отозвано путем письменного уведомления, направленного в адрес Оператора заказным почтовым отправлением.
3.8. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, в течение срока не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

4. Права субъектов персональных данных:

4.1. Субъекты персональных данных имеют право на:
- полную информацию об их персональных данных, обрабатываемых в Оператора;
- доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные;
- уточнение своих персональных данных, их блокирование или уничтожение в случае, если Данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отзыв согласия на обработку персональных данных;
- принятие предусмотренных законом мер по защите своих прав;
- осуществление иных прав, предусмотренных законодательством Российской Федерации.

5. Меры, принимаемые Компанией по обеспечению безопасности Данных при их обработке.

5.1. При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры для защиты Данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Данных, а также от иных неправомерных действий в отношении Данных, которые включают в себя:
- назначение лица, ответственного за организацию обработки Данных в Оператора;
- принятие локальных нормативных актов и иных документов в области обработки и защиты Данных;
- получение согласия субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации, когда обработка персональных данных может осуществляться без такого Согласия;
- хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность Данных и исключающих несанкционированный доступ к ним;
- установление правил доступа к Данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с Данными в информационной системе персональных данных;
- осуществление контроля за принимаемыми мерами по обеспечению безопасности Данных и уровня защищенности информационных систем персональных данных.

6. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований.

6.1. Уполномоченным лицом в Компании за организацию обработки персональных данных в Компании осуществляется систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.
6.2. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается уполномоченным лицом Компании с должностными лицами, ответственными за обработку персональных данных с составлением протокола об уничтожении документов, и Акта уничтожаемых дел, который подписывается уполномоченным лицом.

7. Рассмотрение запросов субъектов персональных данных или их представителей

7.1. Работники Компании, граждане, претендующие на замещение вакантных должностей в Компании и подавшие документы на участие в конкурсе и лица, состоящих с ними в родстве (свойстве), граждане получающие услуги связи имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
7.1.1. подтверждение факта обработки персональных данных;
7.1.2. правовые основания и цели обработки персональных данных;
7.1.3. способы обработки персональных данных;
7.1.4. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
7.1.5. сроки обработки персональных данных, в том числе сроки их хранения;
7.1.6. порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;
7.1.7. информацию об осуществленной или предполагаемой трансграничной передаче данных;
7.1.8. наименование организации или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такой организации или лицу;
7.1.9. иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.
7.2. Лица, указанные в пункте 7.1 настоящего Положения (далее - субъекты персональных данных), вправе требовать от Оператора уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.3. Сведения, указанные в подпунктах 7.1.1-7.1.9 пункта 7.1 настоящего Положения, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
7.4. Сведения, указанные в подпунктах 7.1.1 - 7.1.9 пункта 7.1 настоящего Положения, предоставляются субъекту персональных данных или его представителю уполномоченным должностным лицом Оператора, осуществляющего обработку соответствующих персональных данных при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать:
7.4.1. номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
7.4.2. сведения, подтверждающие участие субъекта персональных данных в правоотношениях Компанией (документ, подтверждающий прием документов на участие в конкурсе на замещение вакантных должностей в Компании, оказание услуг связи), либо сведения, иным образом подтверждающие факт обработки персональных данных в Компании, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
7.5. В случае, если сведения, указанные в подпунктах 7.1.1 - 7.1.9 пункта 7.1 настоящего Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Компанию или направить повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
7.6. Субъект персональных данных вправе обратиться повторно к Оператору или направить повторный запрос в целях получения сведений, указанных в подпунктах 7.1.1 - 7.1.9 пункта 7.1 настоящего Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 7.5 настоящего Положения, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 9.4 настоящего Положения, должен содержать обоснование направления повторного запроса.
7.7. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 7.5 и 7.6 настоящего Положения. Такой отказ должен быть мотивированным.
7.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

8. Лицо, ответственное за организацию обработки персональных данных у Оператора

8.1. Ответственный за организацию обработки персональных данных в Управлении (далее – Ответственный) назначается руководителем Компании в соответствии с приказом по Компании о распределении обязанностей.
8.2. Ответственный в своей работе руководствуется законодательством Российской Федерации в области персональных данных и настоящим Положением.
8.3. Ответственный обязан:
8.3.1. организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в Компании от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
8.3.2. осуществлять внутренний контроль за соблюдением работниками Компании требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
8.3.3. доводить до работников Компании положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
8.3.4. организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов в Компании;
8.3.5. в случае нарушения в Компании требований к защите персональных данных, принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
8.4. Ответственный вправе:
8.4.1. иметь доступ к информации, касающейся обработки персональных данных Компании и включающей:
8.4.1.1. цели обработки персональных данных;
8.4.1.2. категории обрабатываемых персональных данных;
8.4.1.3. категории субъектов, персональные данные которых обрабатываются;
8.4.1.4. правовые основания обработки персональных данных;
8.4.1.5. перечень действий с персональными данными, общее описание используемых в Компании способов обработки персональных данных;
8.4.1.6. описание мер, предусмотренных статьями 18.1 и 19 Федерального закона "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
8.4.1.7. дату начала обработки персональных данных;
8.4.1.8. срок или условия прекращения обработки персональных данных;
8.4.1.9. сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
8.4.1.10. сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
8.4.2. Привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в Компании, иных работников Компании с возложением на них соответствующих обязанностей и закреплением ответственности.
8.5. Ответственный в Компании несет ответственность за надлежащее выполнение возложенных функций по организации обработки персональных данных в Компании в соответствии с положениями законодательства Российской Федерации в области персональных данных.

9. Заключительные положения

9.1. Положения настоящей Политики вступает в силу с момента ее утверждения и действует до ее отмены.
9.2. Все отношения, касающиеся обработки персональных данных, не получившие отражения в настоящей Политике, регулируются согласно положениям законодательства РФ.
9.3. Оператор имеет право вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией Политики. Действующая редакция постоянно доступна на Сайте по адресу: https://npocodit.ru/privacy.