ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Термины и определения
1.1. Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных).
1.2. Субъект персональных данных (СПДн) – физическое лицо, которое прямо или косвенно определенно или определяемо с помощью ПДн.
1.3. Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
1.4. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
1.5. Оператор – "ШКОЛА ЗАЩИТЫ БИЗНЕСА", ООО (ИНН 2464134135, ОГРН 1172468007612 ) , и (или) осуществляющий обработку ПДн, а также определяющий цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
1.6. Предоставление персональных данных – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
1.7. Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание ПДн в ИСПДн и (или) результате которых уничтожаются материальные носители ПДн.
2. Назначение и область применения
2.1. Настоящая Политика в отношении обработки персональных данных (далее - Политика) определяет принципы и условия обработки и защиты ПДн, меры по защите ПДн, обязанности Оператора при их обработке.
2.2. Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006. №152- ФЗ «О персональных данных» (далее – ФЗ-152).
2.3. Настоящая Политика действует в отношении всех процессов по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению ПДн, осуществляемых с использованием средств автоматизации и без использования таких средств.
3. Цели и объем обработки персональных данных
3.1. Обработка ПДн осуществляется Оператором в целях:
выполнения обязательств по заключаемым с СПДн договорам;
организации доставки СПДн заказанного/приобретенного товара, услуг;
(при необходимости дополнить раздел, указав для каких целей принимается персональная информация);
3.2. Содержание и объем обрабатываемых ПДн включает следующие сведения о СПДн:
имя и фамилия;
адрес электронной почты;
Телефон;
Паспортные данные;
Адрес проживания;
4. Принципы обработки персональных данных
Обработка ПДн Оператором осуществляется на основе следующих принципов:
законности и справедливой основы;
ограничения обработки ПДн достижением конкретных, заранее определенных и законных целей;
обработки только тех ПДн, которые отвечают целям их обработки;
недопущения объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
соответствия содержания и объема обрабатываемых ПДн заявленным целям обработки;
обеспечения точности, достаточности и актуальности ПДн по отношению к целям обработки ПДн;
уничтожения либо обезличивания ПДн по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений ПДн, если иное не предусмотрено ФЗ-152. 5. Условия обработки персональных данных
5.1. Оператор производит обработку ПДн при наличии хотя бы одного из следующих условий:
обработка ПДн осуществляется с согласия СПДн на обработку его ПДн;
обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем по которому является СПДн, а также для заключения договора по инициативе СПДн или договора, по которому СПДн будет являться выгодоприобретателем;
обработка ПДн необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы СПДн;
6. Согласие субъекта персональных данных на обработку его персональных данных
6.1. СПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн может быть дано СПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено ФЗ-152. Обязанность предоставить доказательство получения согласия СПДн на обработку его ПДн или доказательство наличия оснований, указанных в ФЗ-152, возлагается на Оператора.
7. Права субъекта персональных данных
7.1. СПДн имеет право на получение у Оператора информации, касающейся обработки его ПДн, в том числе содержащей:
подтверждение факта обработки ПДн Оператором;
правовые основания и цели обработки ПДн;
цели и применяемые Оператором способы обработки ПДн;
наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании ФЗ-152;
обрабатываемые ПДн, относящиеся к соответствующему СПДн, источник их получения, если иной порядок представления таких данных не предусмотрен ФЗ-152;
сроки обработки ПДн, в том числе сроки их хранения;
порядок осуществления СПДн прав, предусмотренных ФЗ-152;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные ФЗ-152 или другими федеральными законами.
7.2. СПДн вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.3. СПДн вправе потребовать, а Оператор обязан немедленно прекратить по требованию СПДн обработку его ПДн.
7.4. Запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении СПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных ФЗ-152, или при наличии согласия в письменной форме СПДн.
7.5. Если СПДн считает, что Оператор осуществляет обработку его ПДн с нарушением требований закона или иным образом нарушает его права и свободы, СПДн вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
7.6. СПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
8. Меры по обеспечению безопасности персональных данных при их обработке
8.1. Оператор при обработке ПДн принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
8.2. Обеспечение безопасности ПДн достигается, в частности:
разработка и утверждение локальных актов по вопросам обработки и защиты ПДн;
применение правовых, организационных и технических мер по обеспечению безопасности ПДн;
определение угроз безопасности ПДн при их обработке в ИСПДн;
применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные уровни защищенности ПДн;
применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
обнаружение фактов несанкционированного доступа к ПДн и принятие мер; восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
осуществление внутреннего контроля соответствия обработки ПДн ФЗ-152, подзаконным нормативным актам и локальным актам Оператора;
оценка вреда, который может быть причинен СПДн в случае нарушения ФЗ-152, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ-152;
соблюдение условий, исключающих несанкционированный доступ к материальным носителям ПДн и обеспечивающих сохранность ПДн;
ознакомление работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе с требованиями к защите ПДн, локальными актами по вопросам обработки и защиты ПДн, и обучение работников Оператора.
9. Заключительные положения
9.1. Настоящая Политика является общедоступным документом и публикуется на сайте Оператора - http://www.shzb.ru/
9.2. Пересмотр положений настоящей Политики проводится в следующих случаях:
при изменении законодательства Российской Федерации в области обработки и защиты ПД;
при изменении целей обработки ПД, структуры информационных и/или телекоммуникационных систем (или введении новых);
при применении новых технологий обработки ПД (в т.ч. передачи, хранения);
при появлении необходимости в изменении процесса обработки ПД, связанной с деятельностью Оператора;
по результатам контроля выполнения требований по обработке и защите ПД;
После пересмотра положений настоящей Политики, ее актуализированная версия публикуется на сайте Оператора - http://www.shzb.ru/ . В случае неисполнения положений настоящей Политики Оператор несет ответственность в соответствии действующим законодательством Российской Федерации.