Главная | Политика обработки персональных данных

ПОЛИТИКА ООО «Система-БиоТех» отношении обработки персональных данных

1. НАЗНАЧЕНИЕ
1.1. Политика обработки персональных данных (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ-152), подзаконными актами к нему и Рекомендациями Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном ФЗ-152 и Регламентом № 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных)» (далее – GDPR).
1.2. Настоящая Политика определяет общие цели и принципы обработки персональных данных и меры по обеспечению безопасности персональных данных в ООО «Система-БиоТех»; (далее – Компания) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных и устанавливает официально выраженные руководством Компании намерения и обязательства в указанной области.
1.3. Настоящая Политика действует в течение 3 (трех) лет и может быть пересмотрена по достижении этого срока, либо ранее, в случае изменения действующего законодательства в области защиты и обработки персональных данных.

2. ОБЛАСТЬ ПРИМЕНЕНИЯ
Настоящая Политика обязательна к применению всеми работниками Компании вне зависимости от их должности, в том числе работниками с полной и частичной занятостью, с момента введения Политики в действие. Другие локальные нормативные акты по обеспечению и защите персональных данных в Компании не должны противоречить настоящей Политике.

3. ТЕРМИНЫ И ОБОЗНАЧЕНИЯ
3.1 В Политике используются следующие основные понятия:

• автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
• блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• обезличивание персональных данных - действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;
• обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, а также организацию, структурирование, адаптацию, восстановление, консультацию, группировку, комбинирование;
• оператор – ООО «Система-БиоТех»;
• персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
• определенно (или определяемое) лицо – это тот, кто может быть определён прямо или косвенно, например, по имени, номеру паспорта, номеру телефона, онлайн идентификатору или по одному или нескольким факторам, характерным для физической, физиологической, генетической, ментальной, экономической, культурной или социальной идентичности человека;
• предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных);
• трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
• уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.
• информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

4. ОСНОВНЫЕ ПОЛОЖЕНИЯ И ДЕЙСТВИЯ
4.1. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1.1 Принципы обработки персональных данных
Обработка персональных данных у Оператора осуществляется на основе следующих принципов:

• законности, справедливости и прозрачности;
• ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
• недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
• недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обработки только тех персональных данных, которые отвечают целям их обработки;
• соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
• недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
• обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
• уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом и / или GDPR.
• обработки персональных данных способом, обеспечивающим соответствующую безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки, а также от случайной потери, уничтожения или повреждения, с помощью соответствующих технических и организационных мер («целостность и конфиденциальность»).

4.1.2 Условия обработки персональных данных
Категории субъектов персональных данных, перечень обрабатываемых персональных данных, цели и правовые основания их обработки определяются в Положении об обработке персональных данных Компании.
Оператору, в случае отсутствия иных правовых оснований обработки персональных данных, следует получить явное согласие субъектов на обработку их персональных данных в момент сбора персональных данных. В случае, если Оператор планирует осуществлять обработку персональных данных с целью, несовместимой с первичной целью обработки персональных данных, Оператор получает отдельное согласие субъектов персональных данных для планируемой цели. В случае, если персональные данные получены Оператором не от субъекта персональных данных, Оператор оповещает субъекта о такой обработке.
4.1.3 Конфиденциальность персональных данных
Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом и / или GDPR.
4.1.4 Поручение обработки персональных данных другому лицу
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом и / или GDPR, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152, GDPR и настоящей Политикой.
4.1.5 Трансграничная передача персональных данных

• Компания в ходе своей деятельности может осуществлять трансграничную передачу персональных данных на территорию иностранных государств органам власти иностранного государства, иностранным физическим или юридическим лицам. До начала осуществления такой передачи Компания обязана убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления такой передачи.
• Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться только в случаях наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных или исполнения договора, стороной которого является субъект персональных данных, а также в иных предусмотренных применимым законодательством в области обработки и обеспечения безопасности персональных данных случаях.
• В отношении процессов обработки персональных данных, подпадающих под действие GDPR, трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях, предусмотренных GDPR.

4.2 ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

4.2.1 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда.
4.2.2 Компания уведомляет субъектов персональных данных об их обязанности предоставлять достоверные персональных данных, а также о возможных последствиях предоставления недостоверных данных.
4.2.3 Субъект персональных данных вправе реализовать свои права субъекта как самостоятельно, так и через представителя. Оператор, при этом, сохраняет за собой право запросить у представителя информацию, необходимую для подтверждения законности обращения (например, доверенность, решение суда или органов опеки и пр.).
4.3 Субъект персональных данных Общества имеет право:
4.3.1 на получение сведений об Операторе, о месте нахождения Оператора, о наличии у Оператора персональных данных, относящихся к нему как субъекту персональных данных, и ознакомление с такими персональными данными, а также на получение иных сведений в соответствии со статьями 12-14 GDPR;
4.3.2 требовать от Оператора уточнения своих персональных данных, ограничения их обработки, блокирования или уничтожения в случае, если его персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной Обществом цели обработки;
4.3.3 принимать предусмотренные законодательством меры по защите своих прав;
4.3.4 на отзыв согласия на обработку персональных данных с последующим уничтожением (удалением) персональных данных;
4.3.5 подавать жалобы надзорным органам в случае нарушения требований применимого законодательства в области обработки и обеспечения безопасности персональных данных.
Если субъект персональных данных является субъектом права Европейского Союза (статья 3 GDPR), Компания гарантирует соблюдение следующих прав в рамках GDPR:
4.3.6 право на отзыв согласия на обработку персональных данных с последующим уничтожением персональных данных (статья 7 GDPR);
4.3.7 право на получение информации, касающейся обрабатываемых персональных данных (статьи 12-14 GDPR);
4.3.8 право на получение копии обрабатываемых персональных данных (статья 15 GDPR);
4.3.9 право на исправление предоставленных персональных данных, если они неполны или неправильны (статья 16 GDPR);
4.3.10 право на удаление персональных данных (статья 17 GDPR);
4.3.11 право на ограничение обработки персональных данных (статья 18 GDPR);
4.3.12 право на получение предоставляемых нам персональных данных в структурированном формате и передачу этих данных в другие организации (статья 20 GDPR);
4.3.13 право на возражение против обработки персональных данных (статья 21 GDPR);
4.3.14 право на получение информации о нарушениях безопасности персональных данных (статья 34 GDPR);
4.3.15 право на подачу жалобы в надзорный орган, если права субъекта персональных данных были нарушены (статья 77 GDPR).
4.3.16 Право на возмещение убытков и компенсацию морального вреда (статья 82 GDPR).
4.4 ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.4.1 Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных, а также GDPR.
4.4.2 Для предотвращения несанкционированного доступа к персональным данным Оператором применяются, в том числе, такие организационно-технические меры:

• назначение должностных лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных;
• назначение Data Protection Officer (DPO), контакты которого указаны в разделе 7 Политики;
• граничение состава лиц, допущенных к обработке персональных данных;
• ознакомление работников с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите персональных данных;
• организация учета, хранения и обращения носителей, содержащих информацию с персональными данными;
• определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
• разработка на основе модели угроз системы защиты персональных данных;
• разработка локальных нормативных актов в области защиты персональных данных;
• осуществление внутреннего контроля соответствия обработки персональных данных применимому законодательству в области обработки и обеспечения безопасности персональных данных;
• ведение реестр процессов обработки персональных данных (RoPA) и поддержка его в актуальном состоянии;
• контроль и отслеживание сроков обработки обращений и запросов на реализацию прав субъектов персональных данных;
• проведение DPIA (Data Protection Impact Assessment) для процессов, представляющих высокие риски для прав и свобод субъектов в силу их особенностей (характера, объема и типа данных), и принятие необходимых мер в отношении таких процессов;
• использование принципов Privacy by Design и Privacy by Default при разработке систем или при внесении изменений, влияющих на процессы обработки персональных данных;
• принятие мер для обеспечения безопасности обработки персональных данных третьими лицами, получающим доступ к персональным данным (заключение специальных договоров и поручений на обработку);
• отслеживание инцидентов безопасности (при наличии) и их последствий, расследование их, и, при необходимости, уведомление надзорного органа, а также субъектов персональных данных (если необходимо) в течение 72 часов;
• проведение регулярных аудитов процессов обработки персональных данных;
• осуществление иных мер, предусмотренных локальными нормативными актами Оператора.

4.5 ПРАВА И ОБЯЗАННОСТИ КОМПАНИИ ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.5.1 Компания вправе:

• поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, на основании заключаемого с этим лицом договора;
• определять цели, основания и перечень обрабатываемых персональных данных;
• осуществлять контроль за законностью обработки персональных данных для исключения рисков, связанных с привлечением к административной ответственности за нарушения порядка обработки персональных данных.

4.5.2 Компания обязана:

• при сборе персональных данных предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
• обеспечить точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
• принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
• не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законом;
• немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, если нет законных оснований для продолжения обработки персональных данных без согласия субъекта;
• разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов;
• обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации;
• принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
• предоставлять безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных;
• прекратить обработку персональных данных или обеспечить ее прекращение в случае достижения цели обработки персональных данных;
• выполнять иные обязанности, предусмотренные федеральными законами и иные нормативно-правовыми актами, регулирующими обработку и защиту персональных данных.

4.5.3 Сотрудники Общества, обрабатывающие персональные данные субъектов, обязаны:

• обрабатывать персональные данные субъектов только в рамках выполнения своих должностных обязанностей;
• обрабатывать персональные данные субъектов только в рамках выполнения своих должностных обязанностей;
• пресекать действия третьих лиц, которые могут привести к разглашению (уничтожению, искажению) персональных данных субъектов;
• выявлять факты разглашения, уничтожения, искажения персональных данных субъектов и информировать об этом Департамент информационной безопасности Общества.

5. ЗАКЛЮЧЕНИЕ
5.1 Компания несет ответственность за соответствие своей деятельности указанным выше принципам обработки персональных данных.
5.2 Иные права и обязанности Оператора в связи с обработкой персональных данных, а также условия обработки и обеспечения безопасности персональных данных определяются иными локальными нормативными актами Оператора.
6. ОЗНАКОМЛЕНИЕ
6.1 Все сотрудники Компании должны быть ознакомлены с положениями настоящей Политики и руководствоваться ей в повседневной работе.
6.2 Сотрудники Компании, виновные в нарушении требований настоящей Политики, могут быть привлечены к ответственности в связи с причинением материального ущерба Оператору, привлечением Оператора к административной или уголовной ответственности в виде штрафа, возмещением Оператором имущественного вреда и морального вреда субъекту персональных данных в результате неправомерных действий такого сотрудника Оператора.