Политика конфиденциальности ООО «Кранштадт» в отношении обработки персональных данных
1. Назначение
1.1. Настоящий документ определяет политику ООО «Кранштадт» (далее – Оператор) в отношении обработки персональных данных (далее – ПД) и организации их защиты.
1.2. Настоящая политика в области обработки и защиты ПД (далее – Политика) разработана в соответствии с п. 2 ст. 18.1 Федерального закона «О персональных данных» №152-ФЗ от 27 июля 2006 года и действует в отношении всех персональных данных, обрабатываемых Оператором.
1.3. Целью настоящей Политики является защита интересов Оператора, субъектов ПД, обрабатываемых Оператором, а также выполнение законодательства Российской Федерации о персональных данных.
1.4. Политика распространяется на Данные, полученные как до, так и после подписания настоящей Политики.
2. Общие положения
2.1. В целях гарантированного выполнения норм федерального законодательства Оператор считает важнейшей задачей соблюдение принципов законности, целостности и конфиденциальности при обработке ПД, а также обеспечение безопасности процессов их обработки.
2.2. Политика характеризуется следующими признаками:
2.2.1. Разработана в целях обеспечения реализации требований законодательства РФ в области обработки ПД субъектов персональных данных.
2.2.2. Раскрывает основные категории персональных данных, обрабатываемых Оператором, цели, способы и принципы обработки Оператором ПД, права и обязанности оператора при обработке ПД, права субъектов ПД, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности ПД при их обработке.
2.2.3. Является общедоступным документом, декларируемым концептуальные основы деятельности Оператора при обработке ПД.
2.3. Действие настоящего документа распространяется на все процессы, в рамках которых осуществляется обработка персональных данных субъектов ПД всех категорий, а также на подразделения, принимающие участие в указанных процессах.
2.4. Основные положения документа могут быть распространены также на подразделения других организаций и учреждений, осуществляющие взаимодействие с Оператором в качестве поставщиков и потребителей (пользователей) информации.
3. Информация об Операторе
Наименование: ООО «Кранштадт».
ИНН: 7838105607.
Юридический адрес: г. Санкт-Петербург, Набережная обводного канала 193 (БЦ Циолковский), 3 этаж, офис №8.
Почтовый адрес: 190020, г. Санкт-Петербург, ул. Циолковского, д. 13-15, литера А, помещ 10-Н, офис 8.
Тел.: +7 (812) 981-33-05.
E-mail: info@kranstad.ru.
Сайт: kranstad.ru.
4. Правовые основания обработки персональных данных
4.1. Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ:
4.1.1. Конституцией Российской Федерации.
4.1.2. Уставом ООО «Кранштадт».
4.1.3. Гражданским кодексом Российской Федерации.
4.1.4. Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
4.1.5. Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
4.1.6. Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
4.1.7. Приказ от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
4.1.8. Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. Москва "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
4.1.9. Постановление Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
4.2. Во исполнение настоящей Политики Оператором утверждены следующие локальные нормативные правовые акты:
4.2.1. Приказ о назначении ответственного за организацию обработки персональных данных.
4.2.2. Приказ об установлении списка лиц, имеющих доступ к персональным данным работников.
4.2.3. Положение об обработке и защите персональных данных.
4.2.4. Инструкция пользователя, имеющего доступ к персональным данным.
4.2.5. Акт определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных.
4.2.6. Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных.
4.2.7. План проведения внутренних проверок режима защиты персональных данных.
5. Цели обработки персональных данных
5.1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих целях:
5.1.1. Исполнения положений нормативных актов, указанных в п.4.1. настоящей Политики.
5.1.2. Реализации основного вида деятельности согласно Устава.
5.1.3. Для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
5.1.4. Для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
5.1.5. Для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);
5.1.6. Для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг; (в ред. Федерального закона от 05.04.2013 N 43-ФЗ)
5.1.7. Для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5.1.8. Для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; (в ред. Федерального закона от 03.07.2016 N 231-ФЗ)
5.1.9. Для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
5.1.10. Обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
5.1.11. Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);
5.1.12. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
6. Категории обрабатываемых персональных данных
6.1. Оператором обрабатываются следующие категории персональных данных юридических лиц, состоящих в договорных отношениях с оператором:
6.1.1. Фамилия, Имя, Отчество.
6.1.2. Контактный телефон.
6.1.3. Электронная почта.
7. Способы и принципы обработки персональных данных:
7.1. Компания ООО «Кранштадт» в своей деятельности соблюдает принципы обработки персональных данных, установленные Федеральным законом 152-ФЗ "О персональных данных".
7.2. Обработка персональных данных в компании ООО «Кранштадт» проводится с соблюдением следующих принципов:
7.2.1. Обработка персональных данных осуществляется на законной и справедливой основе;
7.2.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора;
7.2.3. Обработке подлежат только те персональные данные, которые необходимы для достижения целей их обработки;
7.2.4. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям и не являются избыточными;
7.2.5. При обработке персональных данных обеспечивается их точность, достаточность и, при необходимости, актуальность;
7.2.6. Сроки хранения персональных данных определяются в соответствии с нормами федерального законодательства.
7.3. Обработка персональных данных включает в себя такие процессы, как сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение персональных данных.
8. Сведения о третьих лицах, участвующих в обработке персональных данных:
8.1. ООО «Кранштадт» имеет право поручить обработку персональных данных другому лицу с согласия субъекта персональных данных. Это может быть осуществлено на основе заключения договора с соответствующим лицом или в соответствии с актом, выданным государственным или муниципальным органом. При этом лицо, осуществляющее обработку персональных данных по поручению компании, обязано соблюдать правила и принципы обработки персональных данных, установленные законом.
8.2. Лицо, осуществляющее обработку персональных данных по поручению компании, не обязано получать согласие субъекта персональных данных на обработку их данных.
8.3. Если компания поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия этого лица несет компания. При этом лицо, осуществляющее обработку персональных данных по поручению компании, несет ответственность перед самой компанией.
9. Меры по обеспечению безопасности персональных данных при их обработке:
9.1. Компания ООО «Кранштадт» при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от незаконных действий. Для обеспечения безопасности персональных данных используются следующие методы:
9.1.1. Назначение ответственного лица за организацию обработки персональных данных;
9.1.2. Проведение внутреннего контроля и/или аудита соблюдения законодательства о персональных данных, а также применяемых нормативных актов, включая требования к защите персональных данных и локальные правила.
9.1.3. Обучение сотрудников компании, непосредственно участвующих в обработке персональных данных, положениям российского законодательства о персональных данных, включая требования по защите персональных данных и локальные акты, регулирующие процессы обработки персональных данных.
9.1.4. Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных путем разработки частных моделей угроз.
9.1.5. Применение организационных и технических мер для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. Эти меры необходимы для соблюдения требований по защите персональных данных.
9.1.6. Учет и контроль за машинными носителями персональных данных.
9.1.7. Выявление фактов несанкционированного доступа к персональным данным и принятие соответствующих мер для предотвращения подобных инцидентов.
9.1.8. Восстановление персональных данных, которые были модифицированы или уничтожены вследствие несанкционированного доступа.
9.1.9. Установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе.
9.1.10. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и оценка уровня защищенности информационных систем персональных данных.
10. Права субъектов персональных данных
10.1. Субъекты персональных данных имеют следующие права в соответствии с Федеральным законом №152-ФЗ "О персональных данных":
10.1.1. Получить информацию о обработке их персональных данных оператором, включая подтверждение факта обработки, правовые основания и цели обработки, способы обработки, наименование и место нахождения оператора, сведения о лицах, имеющих доступ к персональным данным, обрабатываемые персональные данные и источник их получения, сроки обработки, а также информацию о трансграничной передаче данных и другие сведения, предусмотренные законом.
10.1.2. Потребовать от оператора уточнения, блокировки или уничтожения своих персональных данных в случае их неполноценности, устаревшей информации, неточности, незаконного получения или ненадобности для заявленных целей обработки.
10.1.3. В случае согласия на обработку персональных данных, субъект имеет право отозвать данное согласие в установленных законом случаях.
10.2. Право на доступ к персональным данным может быть ограничено в соответствии с федеральными законами Российской Федерации.
10.3. Субъект персональных данных может обращаться к оператору для реализации своих прав и защиты своих интересов. Оператор обязан рассматривать обращения и жалобы субъектов персональных данных, проводить расследования нарушений и принимать меры для их устранения.
10.4. В случае недовольства действиями или бездействием оператора, субъект имеет право обратиться в уполномоченный орган по защите прав субъектов персональных данных.
10.5. Субъект персональных данных имеет право на защиту своих прав и интересов через судебные инстанции, включая возмещение убытков и компенсацию морального вреда.
11. Заключительные положения
11.1. Оператор вправе вносить изменения в настоящую Политику, и дата последнего обновления будет указана в заголовке Политики.
11.2. Новая редакция Политики вступает в силу с момента ее утверждения и размещения на сайте Оператора.
11.3. Все сотрудники Оператора обязаны соблюдать настоящую Политику и ознакамливаться с ее содержанием.