/ Политика обработки персональных данных

Политика обработки персональных данных

1. Введение

1.1. Настоящая Политика определяет порядок обработки персональных данных (далее – ПДн) и меры по обеспечению безопасности ПДн в акционерном обществе «ПКК Миландр» (далее – АО «ПКК Миландр», Оператор ПДн) с целью защиты прав и свобод человека и гражданина при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. В Политике используются следующие основные понятия:

  • автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники;
  • блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
  • веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://milandr.ru/;
  • информационная система персональных данных – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;
  • обезличивание ПДн – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность ПДн к конкретному субъекту ПДн;
  • обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;
  • пользователь – любой посетитель веб-сайта https://milandr.ru/;
  • предоставление ПДн – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • распространение ПДн – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
  • трансграничная передача ПДн – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
  • уничтожение ПДн – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных, и (или) уничтожение материальных носителей персональных данных.

1.3. Настоящая Политика разработана в соответствии со следующими действующими нормативными правовыми актами Российской Федерации о ПДн:

  • Федеральным законом от 27 июля 2006г. №152-ФЗ «О персональных данных» (далее – 152-ФЗ);
  • постановлением Правительства Российской Федерации от 1 ноября 2012г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • постановлением Правительства Российской Федерации от 15 сентября 2008 г. №687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без средств автоматизации»;
  • приказ ФСТЭК России от 18 февраля 2013г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • приказ Роскомнадзора от 05 сентября 2013г. №996 «Об утверждении требований и методов по обезличиванию персональных данных»;
  • приказ Роскомнадзора от 24 февраля 2021г. №18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».

1.4. Политика публикуется на сайте Оператора ПДн либо предоставляется иным образом, обеспечивающим неограниченный доступ для ознакомления с ней, в соответствии с ч.2 ст.18.1. 152-ФЗ.

1.5. Действие настоящей Политики распространяется на любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средства автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

2. Принципы обработки ПДн

2.1. Обработка ПДн осуществляется на основе следующих принципов:

  • обработка ПДн осуществляется на законной и справедливой основе;
  • обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
  • обработка ПДн, несовместимая с целями сбора ПДн, не допускается;
  • обработке подлежат только ПДн, которые отвечают целям их обработки;
  • не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
  • содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям обработки;
  • при обработке ПДн обеспечивается точность ПДн и их достаточность;
  • хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, по которому стороной, выгодоприобретателем или поручителем является субъект ПДн;
  • обрабатываемые ПДн подлежат уничтожению или обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законодательством.

3. Условия обработки ПДн

3.1. Обработка ПДн осуществляется с соблюдением принципов и правил, установленных 152-ФЗ, а именно:

  • обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
  • распространение ПДн осуществляется с согласия субъекта ПДн на распространение его ПДн;
  • обработка ПДн необходима для достижения Оператором ПДн целей, функций, полномочий и обязанностей, предусмотренных законодательством Российской Федерации;
  • обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
  • обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);
  • обработка ПДн необходима для исполнения договора, по которому стороной, выгодоприобретателем или поручителем является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
  • обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
  • обработка ПДн необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления, а также выполнения функций организаций, участвующих в предоставлении государственных и муниципальных услуг, предусмотренных Федеральным законом от27июля 2010 года №210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта ПДн на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
  • обработка ПДн необходима для осуществления прав и законных интересов Оператора ПДн или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
  • обработка ПДн осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания ПДн. Исключение составляет обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи.

3.2. Осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе. Оператор ПДн может включать ПДн субъектов в общедоступные источники ПДн, при этом Оператор ПДн берет письменное согласие субъекта на обработку и распространение его ПДн.

3.3. Оператор ПДн осуществляет обработку биометрических ПДн (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность, и которые используются Оператором ПДн для установления личности субъекта ПДн).

3.4. Оператор ПДн не осуществляет обработку ПДн специальной категории, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

3.5. Оператор ПДн не осуществляет трансграничную передачу ПДн.

3.6. Оператор ПДн осуществляет смешанную обработку персональных данных как с использованием, так и без использования средств автоматизации. Принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, не осуществляется.

3.7. Оператор ПДн получает и начинает обработку ПДн субъекта ПДн с момента получения его согласия. Согласие на обработку ПДн может быть дано субъектом персональных данных в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, устной или иной форме, предусмотренной действующим законодательством, в том числе посредством совершения субъектом ПДн конклюдентных действий при использовании сервисов Оператора ПДн, например, на веб-сайте, с использованием форм обратной связи и акцепте оферт, содержащих в себе положения об обработке персональных данных в соответствии с действующим законодательством. В случае отсутствия согласия Субъекта персональных данных на обработку его персональных данных, такая обработка не осуществляется.

3.8. При поручении обработки ПДн другому лицу Оператор ПДн заключает договор (далее – поручение Оператора ПДн) с этим лицом и получает на это согласие субъекта ПДн, если иное не предусмотрено федеральным законом. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные 152-ФЗ, соблюдать конфиденциальность ПДн, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ. В поручении Оператора должны быть определены перечень ПДн, перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн, требования, предусмотренные 152-ФЗ, обязанность по запросу Оператора ПДн в течение срока действия поручения Оператора, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора требований, установленных в соответствии со 152-ФЗ, обязанность обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со 152-ФЗ, в том числе требование об уведомлении Оператора о случаях, предусмотренных частью 3.1 статьи 21 152-ФЗ.

3.9. В случаях, когда Оператор ПДн поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Оператор ПДн. Лицо, осуществляющее обработку ПДн по поручению Оператора ПДн, несет ответственность перед Оператором ПДн.

3.10. Оператор ПДн обязуется и обязует иные лица, получившие доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

4. Обязанности Оператора ПДн

4.1. В соответствии с требованиями 152-ФЗ Оператор ПДн обязан:

  • а) предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить отказ в предоставлении такой информации в срок, не превышающий десяти рабочих дней с момента обращения либо получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Оператор предоставляет сведения субъекту ПДн или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе;
  • б) уточнять, блокировать или уничтожать обрабатываемые ПДн по требованию субъекта ПДн, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • в) вести журнал учета обращений субъектов ПДн, в котором должны фиксироваться запросы субъектов ПДн на получение ПДн, а также факты предоставления ПДн по этим запросам;
  • г) уведомлять субъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от субъекта ПДн. Исключение составляют следующие случаи: 1) субъект ПДн уведомлен об осуществлении обработки Оператором ПДн его ПДн; 2) ПДн получены Оператором ПДн в связи с исполнением договора, по которому выгодоприобретателем или поручителем является субъект ПДн, или на основании федерального закона; 3) ПДн сделаны общедоступными субъектом ПДн или получены из общедоступного источника; 4) Оператор ПДн осуществляет обработку ПДн для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта ПДн;
  • д) незамедлительно прекратить обработку ПДн в случае достижения цели обработки ПДн и уничтожить соответствующие ПДн, если иное не предусмотрено договором, по которому стороной, выгодоприобретателем или поручителем является субъект ПДн, иным соглашением между Оператором ПДн и субъектом ПДн, либо если Оператор ПДн не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных 152-ФЗ или другими федеральными законами;
  • е) прекратить обработку ПДн в случае отзыва субъектом ПДн согласия на обработку своих ПДн и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, и уничтожить ПДн, если иное не предусмотрено соглашением между Оператором ПДн и субъектом ПДн. Об уничтожении ПДн Оператор ПДн обязан уведомить субъекта ПДн тем же способом, которым был получен отзыв, либо выбранным субъектом ПДн;
  • ж) немедленно прекратить обработку ПДн в случае поступления требования субъекта ПДн о прекращении обработки ПДн, полученных в целях продвижения товаров, работ, услуг на рынке.

4.2. При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор ПДн обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

4.3. Оператор ПДн не может отказаться от волеизъявления субъекта ПДн в его согласии на распространение ПДн в части установления субъектом ПДн запретов и условий на распространение ПДн, предусмотренных 152-ФЗ.

5. Меры по обеспечению безопасности ПДн при их обработке

5.1. При обработке ПДн Оператор ПДн применяет необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

5.2. Обеспечение безопасности ПДн достигается Оператором ПДн следующими мерами:

  • назначением ответственного за организацию обработки ПДн;
  • изданием локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
  • определением угроз безопасности ПДн при их обработке в информационных системах персональных данных;
  • применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите ПДн, установленных нормативными правовыми актами, указанными в п.1.3. настоящей Политики;
  • применением сертифицированных средств защиты информации, прошедших в установленном порядке процедуры оценки соответствия;
  • оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы персональных данных;
  • учетом машинных носителей ПДн;
  • обнаружением фактов несанкционированного доступа к ПДн и принятием мер по их нейтрализации;
  • резервированием ПДн специальными программно-аппаратными методами с последующей возможностью восстановления модифицированных или уничтоженных ПДн вследствие несанкционированного доступа к ним;
  • установлением правил доступа к ПДн, а также обеспечением регистрации и учета действий, совершаемых с ПДн, обрабатываемыми в информационной системе персональных данных;
  • контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн;
  • оценка вреда, который может быть причинен субъектам ПДн в случае нарушения требований, предусмотренных 152-ФЗ, соотношение указанного вреда и принимаемых Оператором ПДн мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ;
  • ознакомление работников Оператора ПДн, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Оператора ПДн в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников.

5.3. Обязанности работников Оператора ПДн, осуществляющих обработку и защиту ПДн, а также их ответственность, определяются в «Правилах обработки персональных данных без использования средств автоматизации в АО «ПКК Миландр» и в «Правилах обеспечения безопасности персональных данных при их обработке в информационной системе персональных данных АО «ПКК Миландр».

6. Права субъекта ПДн

В соответствии со 152-ФЗ субъект ПДн имеет право:

  • а) получить следующие сведения, касающиеся обработки его ПДн, от Оператора ПДн:
    1. подтверждение факта обработки ПДн;
    2. правовые основания и цели обработки ПДн;
    3. цели и применяемые Оператором ПДн способы обработки ПДн;
    4. наименование и место нахождения Оператора ПДн, сведения о лицах (за исключением работников Оператора ПДн), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором ПДн или на основании федерального закона;
    5. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора ПДн, если обработка поручена или будет поручена такому лицу;
    6. состав обрабатываемых ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
    7. сроки обработки и хранения ПДн;
    8. порядок осуществления субъектом ПДн прав, предусмотренных 152-ФЗ;
    9. информацию об осуществленной или предполагаемой трансграничной передаче данных;
    10. способы исполнения обязанностей, установленных статьей 18.1 152-ФЗ;
  • б) потребовать от Оператора ПДн уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • в) отозвать согласие на обработку ПДн в предусмотренных 152-ФЗ случаях;
  • г) обжаловать действия или бездействие Оператора ПДн путем обращения в уполномоченный орган по защите прав субъектов ПДн;
  • д) на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке;
  • е) в согласии на обработку ПДн, разрешенных субъектом ПДн для распространения, вправе установить запреты на передачу этих ПДн Оператором ПДн неограниченному кругу лиц, а также запреты на обработку или условия обработки этих ПДн неограниченным кругом лиц.

7. Порядок осуществления прав

7.1. Обращение субъекта ПДн в целях реализации его прав, установленных 152-ФЗ, осуществляется в письменном виде в установленной форме.

7.2. Формы обращений публикуются в мобильном приложении либо информационно-телекоммуникационной сети Интернет.

7.3. Ответ на обращение отправляется субъекту ПДн по электронной почте, указанной в обращении.

7.4. Сроки уточнения, актуализации, блокировки и уничтожения ПДн определяются в организационных распорядительных документах Оператора ПДн, утверждаемых локальными нормативными актами, в соответствии с требованиями 152-ФЗ. Любые организационные распорядительные документы Оператора ПДн, касающиеся порядка обработки и защиты ПДн за исключением настоящей Политики, публикуемой для всеобщего доступа, могут быть предоставлены субъекту ПДн по его мотивированному запросу.

8. Актуализация и утверждение Политики

8.1. Политика утверждается и вводится в действие локальным нормативным актом Оператора ПДн.

8.2. Оператор ПДн имеет право актуализировать Политику по мере внесения изменений:

  • в нормативные правовые акты Российской Федерации о персональных данных;
  • в локальные нормативные акты Оператора ПДн, регламентирующие организацию обработки и обеспечение безопасности персональных данных.

9. Ответственность

Лица, связанные договорными отношениями с Оператором ПДн, виновные в нарушении норм, регулирующих обработку и защиту ПДн, несут ответственность, предусмотренную законодательством Российской Федерации, локальными актами Оператора ПДн и договорами, регламентирующими правоотношения Оператора с третьими лицами.