Политика обработки персональных данных

Положение

об обработке персональных данных

в ООО «Торгово-строительная компания «ТОН-М»

(ООО «ТСК «ТОН-М»)

1. Общие положения

1.1. Настоящее Положение об обработке персональных данных в ООО «ТСК «ТОН-М» (далее – Положение, компания) разработано на основании требований Федерального закона РФ  «О персональных данных».

1.2. Положение является локальным нормативным документом, регламентирующим деятельность компании в области обработки и защиты персональных данных. 

1.3. Положение разработано в целях  соблюдения законодательства в области защиты персональных данных, защиты от несанкционированного доступа и разглашения персональных данных, обрабатываемых компанией. 

1.4. Положение определяет порядок обработки персональных данных работников компании, клиентов, контрагентов, доверенных лиц, а также права, обязанности и ответственность сотрудников компании в отношении обработки персональных данных.

1.5. В настоящем Положении используются следующие термины и определения:

- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

- обработка персональных данных - любое действие с персональными данными, совершаемое с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному  кругу лиц;

- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.6. Положение вступает в силу с момента его утверждения генеральным директором компании. 

1.7. Действие Положения распространяется на персональные данные, полученные как до, так и после утверждения настоящего Положения.

1.8. Электронная версия  Положения размещена на сайте компании www.ton-m.ru.

  1. Цели обработки персональных данных

2.1. Получение и обработка персональных данных осуществляется в соответствии с целями, заранее определенными и заявленными при сборе персональных данных, а также полномочиями компании, определенными действующим законодательством РФ и договорными отношениями с субъектом персональных данных.

2.2. Компания обрабатывает персональные данные с целью 

- осуществления деятельности, предусмотренной Уставом; 

- реализации  трудовых отношений; 

- заключения и исполнения гражданско-правовых договоров;  

- осуществления прав и исполнения обязанностей, возложенных  на операторов Федеральным законом «О персональных данных» и иными нормативно-правовыми актами РФ в области обработки и защиты персональных данных.

2.3.  При определении объема и содержания, обрабатываемых персональных данных  компания руководствуется целями, указанными в п. 2.2 настоящего Положения,  а также минимально необходимым составом персональных данных для достижения указанных целей.  

2.4. Состав персональных данных определяется информацией, необходимой компании для:

- заключения трудовых договоров, оформления и поддержания трудовых отношений с работниками в соответствии с Трудовым кодексом Российской Федерации; 

- оформления доверенностей физическим лицам для совершения действий от лица компании; 

- заключения  гражданско-правовых договоров с клиентами, контрагентами. 

  1. Порядок и условия  обработки персональных данных


3.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом «О персональных данных». 

3.2. В соответствии с п. 5 ч. 1 ст. 6 Федерального закона «О персональных данных» обработка персональных данных, необходимая для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем, осуществляется без согласия субъекта персональных данных. 

3.3. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений и интимной жизни компанией не осуществляется.

3.4. Трансграничная передача персональных данных компанией не осуществляется.

3.5. Обработка персональных данных осуществляется компанией как с использованием средств автоматизации, так и на бумажных носителях. 

3.6. Информационные ресурсы, содержащие персональные данные субъектов персональных данных, создаются путем копирования оригиналов документов, содержащих персональные  данные, внесения сведений в типовые формы на бумажных носителях, внесения сведений в электронные базы данных. 

3.7. В компании устанавливается особый режим хранения персональных данных,  при котором:   

- обеспечивается раздельное хранение персональных данных, обработка которых осуществляется в различных целях;  

- сотрудникам запрещается оставлять на рабочем столе документы, содержащие персональные данные, если в данный момент они с ними не работают;  

- персональные данные, содержащиеся на бумажных носителях, хранятся в закрываемых на ключ сейфе.

3.8. Сотрудники компании допускаются к обработке персональных данных на основании приказа генерального директора компании.

3.9. Сотрудники компании, допущенные к обработке персональных данных, должны быть ознакомлены с  настоящим Положением под роспись.

3.10. Приказом генерального директора компании назначается лицо, ответственное за организацию обработки персональных данных.

3.11. Лицо, ответственное за организацию обработки персональных данных обязано:

- осуществлять внутренний контроль за соблюдением сотрудниками компании  законодательства РФ о персональных данных, в том числе требований к защите персональных данных;

- доводить до сведения сотрудников компании положения законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

- организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей,  осуществлять контроль за приемом и обработкой таких обращений и запросов.

3.12. В случае достижения цели обработки персональных данных компания  прекращает обработку персональных данных и в срок, не превышающий 30 календарных дней с даты достижения цели обработки персональных данных, уничтожает персональные данные. Указанные действия выполняются, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между компанией и субъектом персональных данных либо, если компания не вправе осуществлять уничтожение персональных данных без согласия субъекта персональных данных в силу положений ФЗ «О персональных данных» или иных федеральных законов. Уничтожение персональных данных оформляется актом, который хранится в компании один год.

  1. Права субъекта персональных данных


4.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных компанией;

- правовые основания и цели обработки персональных данных;

- цели и способы обработки персональных данных, применяемые компанией;

- наименование и место нахождения компании, сведения о лицах (за исключением работников компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с компанией или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных,  сроки хранения персональных данных;

- порядок осуществления субъектом персональных данных прав, предусмотренных  ФЗ «О персональных данных»;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению компании, если обработка поручена или будет поручена такому лицу. 

4.2. Информация, указанная в п. 4.1 настоящего Положения предоставляется субъекту персональных данных или его представителю при его обращении либо при получении запроса субъекта персональных данных или его представителя. 

4.3. Запрос субъекта персональных данных или его представителя должен содержать:  номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя; сведения о дате выдачи указанного документа и выдавшем его органе; сведения, подтверждающие участие субъекта персональных данных в отношениях с компанией (номер договора, дата заключения договора, условное словесное обозначение и иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных компанией; подпись субъекта персональных данных или его представителя. 

4.4.  Ответ предоставляется компанией субъекту персональных данных  в виде официального письма за подписью генерального директора в течение 30 календарных дней с даты получения запроса субъекта персональных данных или его представителя, в доступной форме, не содержащей персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. 

4.5. В случае отказа субъекту персональных данных  или его представителю в предоставлении информации, касающейся обработки его персональных при их обращении либо при получении запроса от них,  компания предоставляет субъекту персональных данных или его представителю мотивированный ответ, содержащий ссылку на положение ч. 8 ст. 14 ФЗ «О персональных данных», являющееся основанием для такого отказа, в срок, не превышающий 30 календарных дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.

4.6. Обращения субъектов персональных данных регистрируются в журнале входящей корреспонденции и доводятся до сведения сотрудника компании, осуществляющего обработку персональных данных в компании, в отношении которых поступило обращение, не позднее одного рабочего дня со дня поступления обращения. Срок ответа - 30 дней с даты регистрации обращения. 

4.7. Субъект персональных данных вправе требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.8.  При обращении субъекта персональных данных или его представителя, по их запросу, либо по запросу уполномоченного органа по защите прав субъектов персональных данных, в случае выявления неточных персональных данных, компания осуществляет следующие действия:

- с момента получения запроса на период проверки блокирует персональные данные, относящихся к субъекту персональных данных

- организует проверку неточности персональных данных.  При подтверждении факта неточности персональных данных в течение 7 рабочих дней со дня представления уточняющих сведений субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных вносит изменения в персональные данные либо обеспечивает их уточнение;

- снимает блокировку персональных данных;

- уведомляет субъекта персональных данных или его представителя или уполномоченный орган по защите прав субъектов персональных данных, об устранении допущенных нарушений.

4.9. При получении компанией запроса об отзыве субъектом персональных данных согласия на обработку его персональных данных компания прекращает обработку персональных данных  в срок, не превышающий 30-ти дней со дня поступления указанного запроса; уничтожает персональные данные, если сохранение персональных данных более не требуется для целей обработки персональных данных. Указанные действия выполняются, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между компанией и субъектом персональных данных, либо если компания не вправе осуществлять уничтожение персональных данных без согласия субъекта персональных данных по основаниям, предусмотренным ФЗ «О персональных данных» или другими федеральными законами. 

4.10.  Субъект персональных данных вправе обжаловать действия или бездействие компании в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. 

4.11. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и  компенсацию морального вреда в судебном порядке.



  1. Сведения о выполнении  

мероприятий по защите персональных данных


5.1. В соответствия с требованиями ФЗ «О персональных данных» в компании реализованы следующие мероприятия по защите персональных данных:

- применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 ФЗ «О персональных данных»;

- введено в действие  и опубликовано на сайте компании Положение об обработке персональных данных, определяющее политику компании в отношении обработки и защиты персональных данных; 

- приказом генерального директора компании назначен сотрудник, ответственный за организацию обработки персональных данных;

- сотрудники компании, осуществляющие обработку персональных данных, ознакомлены с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных; локальными документами, определяющими политику компании в отношении обработки персональных данных; 

- осуществляется внутренний контроль за соответствием обработки персональных данных требованиям ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам  в отношении обработки персональных данных;

- проводятся периодические внутренние проверки состояния системы защиты персональных данных;

- реализованы требования к защите персональных данных исходя из уровня защищенности персональных данных;

- производится учет машинных носителей персональных данных;

- приняты соответствующие меры по защите от несанкционированного доступа к персональным данным; 

- программные средства, используемые для защиты информации, имеют соответствующие сертификаты.



  1. Ответственность за нарушение законодательства о персональных данных


6.1. Сотрудники компании, работающие с персональными данными,  несут ответственность за сохранность носителя и конфиденциальность информации в соответствии с действующим законодательством. 

6.3. Компания несет ответственность за нарушение прав субъектов персональных данных в пределах, установленных законом. 

6.4. Компания не несет ответственности за убытки, понесенные субъектами персональных данных в результате предоставления ими недостоверных персональных данных.