Политика конфиденциальности

Утверждено

приказом директора ООО «АРДА-ЛИСИ»

от 01 октября 2021 г.

 

ООО «АРДА-ЛИСИ»

ИНН: 5321052112

КПП: 531001001

Директор: Якелевичюс Роландас 

Адрес: ул. Индустриальная, 28, п. Панковка, Новгородская область, 173526

 

ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

РАЗДЕЛ I

ОПРЕДЕЛЕНИЯ

Употребляемые в порядке определения:
субъект данных – физическое лицо, чьи персональные данные обрабатывает ООО «АРДА-ЛИСИ»;
работник – лицо, которое заключило с ООО «АРДА-ЛИСИ» трудовой договор, выполняет возложенные на него обязанности по должностной инструкции и по решению руководителя назначено обрабатывать персональные данные либо лицо, оказывающее услуги по заключённому договору об оказании услуг;
персональные данные – любая информация, связанная с физическим лицом – субъектом данных, личность которого известна либо может быть прямо или косвенно установлена при помощи таких данных как личный код, одного или несколько характерных лицу признаков физического, физиологического, психологического, экономического, культурного или социального характера;
обработка персональных данных – означает любое действие, выполняемое с персональными данными: сбор, запись, накопление, хранение, классификацию, группирование, агрегирование, изменение (дополнение или исправление), предоставление, опубликование, использование, логические и/или арифметические операции, поиск, разглашение, удаление или другое действие либо набор действий;
получатель данных, обработчик – юридическое или физическое лицо, которому предоставляются персональные данные;
предоставление данных – разглашение персональных данных путём передачи или иного способа сделать их доступными (кроме опубликования в средствах массовой информации).

Другие употребляемые определения понимаются так, как их толкование дано в Общем регламенте по защите персональных данных Российской Федерации.

ОБЩИЕ ПОЛОЖЕНИЯ

1. В Описании порядка осуществления прав субъектов данных ООО «АРДА-ЛИСИ» (в дальнейшем – Предприятие), иначе в правилах обработки персональных данных (в дальнейшем – Описание), установлен объём обработки персональных данных и цели, права субъектов данных, порядок подачи и рассмотрения на Предприятии прошений субъектов данных об их правах, закреплённых Регламентом Российской Федерации «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных».

2. Описание подготовлено в соответствии с Регламентом и Законом Российской Федерации о правовой защите персональных данных.

3. Употребляемые в Описании определения понимаются так, как они определены в Регламенте.

4. Персональные данные субъектов данных обрабатывает контроллер данных – ООО «АРДА-ЛИСИ», ИНН: 5321052112, КПП: 531001001, под руководством директора Якелевичюса Роландаса, эл. почта: ardalisi@mail.ru, www.ardalisi.ru, телефон: 8162790390.

5. Предприятие неавтоматическим способом в систематизированных и несистематизированных файлах и (или) автоматическим способом обрабатывает персональные данные субъектов данных в следующих целях обработки персональных данных:

5.1. персональные данные физических лиц, заключивших с Предприятием договоры об оказании услуг или общественной закупки, а персональные данные юридических лиц – их работников, указанных в договорах, обрабатываются с целью осуществления деятельности предприятия и администрирования внутреннего распорядка (исполнения договоров и расчётов);

5.2. данные специальных категорий, связанные со здоровьем работника, обрабатываются только с целью заключения трудовых договоров и создания надлежащих условий труда;

5.3. персональные данные Работников обрабатываются в целях процесса трудоустройства и исполнения обязательств по трудовым договорам или отношениям и контактирования;

5.4. персональные данные детей в возрасте до 14 лет и персональные данные их родителей / опекунов не обрабатываются;

5.5. CV лиц, желающих устроиться на работу, их мотивационные письма и другие данные обрабатываются для проведения процесса трудоустройства. Персональные данные, полученные от нетрудоустроенных лиц, с разрешения заявителя хранятся 2 (два) года, а не согласных – удаляются во всех системах после достижения цели обработки полученных данных;

5.6. с целью администрирования долгов при наличии задолженности перед предприятием ООО «АРДА-ЛИСИ»;

5.7. с целью выполнения запроса от правоохранительных органов, имеющих юридическую силу на получение доступа к данным;

5.8. с целью мониторинга видеоданных и обработки полученных данных;

5.9. с целю подготовки аудиторских проверок на Предприятии, финансовых отчётов, составления анализа и улучшения услуг.

6.  Персональные данные всегда предоставляются третьим сторонам только в случаях и порядке, установленных законодательством и прочими правовыми актами:

6.1. Данные физических лиц могут предоставляться: органам, осуществляющим деятельность по надзору за Предприятием, если эти данные связаны с проводимым надзором за Предприятием; правоохранительным органам, Государственной налоговой инспекции, судам, страховым компаниям, охранным предприятиям, компаниям по взысканию долгов и другим учреждениям, оказывающим услуги такого типа.

6.2. Персональные данные субъектов данных, которые содержатся в обрабатываемых Предприятием информационных системах, предоставляются связанным регистрам, указанным в положениях соответствующего регистра или соответствующей информационной системы, информационным системам и другим получателям, имеющим доступ к персональным данным в рамках своих трудовых функций, связанным с обработкой персональных данных.

6.3. Другим третьим сторонам, которым обязанность по предоставлению персональных данных установлена законами или иными правовыми актами, например: работникам нанятого бухгалтерского учреждения, на которых по договорным отношениям возлагаются функции по подготовке писем, бухгалтерские и другие трудовые функции.

7. Персональные данные хранятся не дольше, чем этого требуют цели обработки данных. Сроки хранения персональных данных, которые хранятся в документах или делах, устанавливаются в ежегодном плане документации, утверждённом руководителем Предприятия. Сроки хранения персональных данных субъектов данных, содержащихся в обрабатываемых Предприятием регистрах и информационных системах, предусмотрены положениями соответствующего регистра или соответствующей информационной системы. Персональные данные работников с делами хранятся не менее 50 лет; электронные письма лиц хранятся не менее 3 лет.

7.1. Если персональные данные больше не нужны для достижения целей их обработки, то их удаляют, за исключением тех данных, которые в установленных законодательством случаях должны быть переданы в архив на дальнейшее хранение, либо возвращены кандидату, партнёрам и др.

8. Персональные данные за пределы Российской Федерации не передаются.

8.1. В случае необходимости при выполнении услуги передать персональные данные за указанные выше пределы, всегда о такой передаче, её цели и причине уведомляется субъект данных.

9. Предприятие с целью, указанной в пункте 5 настоящих Правил, обрабатывает следующие персональные данные субъектов данных:

(а) имя;

(б) фамилия;

(в) личный код;

(г) дата рождения;

(д) адрес;

(е) место жительства;

(ж) адрес электронной почты;

(з) номер телефона;

(и) данные личного документа и его копии;

(к) тексты прошений и другие связанные с прошением документы, необходимые для достижения договорных отношений, исполнения обязательств;

(л) IP-адрес;

(м) данные видеозаписей с камер видеонаблюдения, расположенных на территории Предприятия;

(н) данные о месте работы или работодателе;

(о) электронные подписи.

10. Обработка персональных данных ведётся при соблюдении технических и организационных способов защиты обработки персональных данных.

РАЗДЕЛ II

ПОЛОЖЕНИЯ КОНФИДЕНЦИАЛЬНОСТИ

11. Работников Предприятия, которым при выполнении трудовых функций приходится работать с персональными данными, ознакомляют с настоящими Правилами и описанием порядка конфиденциальности. Каждый работник подписывает обязательство хранить персональные данные в тайне (договор о конфиденциальности).

12. Работники Предприятия вправе обрабатывать персональные данные только в таких целях и таком объёме, которые указаны в настоящих правилах.

13. Работники должны соблюдать принцип конфиденциальности, хранить в тайне любую информацию, связанную с персональными данными, с которой они ознакомились при исполнении своих обязанностей, если только такая информация не была доступна по положениям действующего законодательства или прочих правовых актов. Принцип конфиденциальности работники должны соблюдать и после прекращения трудовых отношений. Обязанность хранить персональные данные в тайне также действует при переходе работника работать на другую должность. Принцип конфиденциальности означает, что лицам, которые занимаются обработкой персональных данных, без согласия контроллера данных или руководителя предприятия запрещается разглашать их при получнии от третьих лиц прошений о таком разглашении.

РАЗДЕЛ III

ПРАВА СУБЪЕКТОВ ДАННЫХ

11. Права субъектов данных, закреплённые в Регламенте:

11.1. право знать (быть проинформированным) об обработке своих персональных данных на Предприятии;

11.2. право на ознакомление с обработкой своих персональных данных;

11.3. право требовать исправить недостоверные или неверно предоставленные персональные данные;

11.4. право требовать удалить обрабатываемые на незаконном основании персональные данные („право на забвение “);

11.5. право на ограничение обработки персональных данных;

11.6. право не согласиться с обработкой персональных данных;

11.7. право на перенос персональных данных;

11.8. право подать жалобу в Государственную инспекцию по защите данных по поводу незаконно или ненадлежащим образом обрабатываемых персональных данных.

ГЛАВА I

ОСУЩЕСТВЛЕНИЕ ПРАВА ЗНАТЬ (БЫТЬ ПРОИНФОРМИРОВАННЫМ) ОБ ОБРАБОТКЕ СВОИХ ПЕРСОНАЛЬНЫХ ДАННЫХ НА ПРЕДПРИЯТИИ

12. Право субъекта данных осуществляется при предоставлении субъекту данных информации об обработке персональных данных:

12.1. Во время общения с субъектом данных таким способом, которым субъект данных обращается к Предприятию.

13. Предприятие вправе отказаться осуществлять предусмотренное право субъекта данных либо предоставить не всю информацию, запрашиваемую субъектом данных, если:

13.1. Субъект данных уже получил такую информацию в текущем календарном году, либо она уже у него есть;

13.2. Предоставление информации, запрашиваемой субъектом данных, невозможно либо для этого требуются непропорциональные усилия;

13.3. Получение или разглашение персональных данных чётко установлено правовыми актами Российской Федерации, в которых установлены надлежащие меры защиты законных интересов субъектов данных;

13.4. Персональные данные обязаны остаться конфиденциальными при соблюдении обязательства о сохранении профессиональной тайны, регламентируемого правовыми актами Российской Федерации.

 

ГЛАВА II

ОСУЩЕСТВЛЕНИЕ ПРАВА НА ОЗНАКОМЛЕНИЕ СО СВОИМИ ПЕРСОНАЛЬНЫМИ ДАННЫМИ НА ПРЕДПРИЯТИИ

14. Субъект данных имеет право получить от Предприятия подтверждение, обрабатываются ли связанные с ним персональные данные, а если такие персональные данные обрабатываются, вправе ознакомиться со своими персональными данными, получить копию обрабатываемых персональных данных и информацию о:

14.1. целях обработки персональных данных;

14.2. соответствующих категориях персональных данных;

14.3. получателях данных или их категориях;

14.4. предположительном периоде хранения персональных данных или критериях, руководствуясь которыми устанавливается период хранения;

14.5. источниках персональных данных;

14.6. какими способами обеспечивается защита персональных данных;

14.7. какие автоматические решения выполняются с персональными данными.

15. Предприятие также обязано в ответе на прошение субъекту данных предоставить информацию о правах субъекта данных, в том числе право на подачу жалобы в Государственную инспекцию по защите данных и право просить исправить или удалить персональные данные, ограничить обработку своих персональных данных либо не согласиться с обработкой персональных данных (когда эти права применяются).

16. Если определённая информация о субъекте данных связана и с другими лицами, то информация субъекту данных должна быть предоставлена в таком объёме, чтобы не нарушить права других лиц.

17. Информация может быть не предоставлена, если на день получения прошения Предприятие больше не обрабатывает запрашиваемых к предоставлению данных.

18. Дополнительная к предоставлению информация, предусмотренная пунктом 14, может быть не предоставлена, если эти данные указаны в правилах обработки персональных данных.

ГЛАВА III

ОСУЩЕСТВЛЕНИЕ ПРАВА ТРЕБОВАТЬ ИСПРАВИТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ НА ПРЕДПРИЯТИИ

19. Если субъект данных полагает, что на Предприятии ведётся обработка неточных или неполных его персональных данных, то он вправе просить, чтобы Предприятие исправило бы обрабатываемые неточные или дополнило бы неполные персональные данные.

20. Предприятие после получения прошения субъекта данных исправить неточные или дополнить неполные его персональные данные, не позднее, чем в течение 7 рабочих дней проверяет данные, чтобы установить обоснованность прошения. Вместе с проверяемыми персональными данными Предприятие отправляет субъекту данных ответ о действиях, которые намеревается предпринять, тем самым подтверждая, что прошение субъекта данных получено.

21. Если устанавливается, что прошение субъекта данных обоснованное, то Предприятие обязано:

21.1. не позднее, чем в течение 7 рабочих дней исправить неточные или дополнить неполные персональные данные;

21.2. при отсутствии возможности незамедлительно исправить неточные или дополнить неполные персональные данные, остановить действия по обработке таких персональных данных, и хранить эти персональные данные до тех пор, пока они не будут исправлены;

21.3. не позднее, чем в течение 10 рабочих дней с момента исправления неточных данных или дополнения неполных данных проинформировать субъекта данных и получателей данных о выполненных действиях, за исключением тех случаев, когда предоставление информации получателям данных невозможно из-за необоснованно больших затрат.

ГЛАВА IV

ОСУЩЕСТВЛЕНИЕ ПРАВА ТРЕБОВАТЬ УДАЛИТЬ ОБРАБАТЫВАЕМЫЕ НА НЕЗАКОННОМ ОСНОВАНИИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ (ПРАВО НА ЗАБВЕНИЕ) НА ПРЕДПРИЯТИИ

22. Субъект данных вправе просить удалить связанные с ним персональные данные, если имеется одно из следующих оснований:

22.1. персональные данные больше не нужны для целей, которые были установлены перед сбором персональных данных;

22.2. отменено согласие субъекта данных, на котором основывалась обработка персональных данных субъекта данных, и нет другого юридического основания для обработки персональных данных субъекта;

22.3. субъект данных не согласен с обработкой персональных данных и не существует веских законных причин для обработки его персональных данных;

22.4. обработка персональных данных велась незаконно;

22.5. персональные данные должны быть удалены в соответствии с юридическим обязательством, установленным правовыми актами Российской Федерации.

23. В прошении субъекта данных должны быть приведены подробные аргументы, по каким причинам субъект данных просит удалить его персональные данные, и указано одно из оснований.

24. Право требовать удалить персональные данные („право на забвение“) на Предприятии осуществляется:

24.1. Предприятие после получения прошения субъекта данных удалить связанные с ним персональные данные не позднее, чем в течение 10 рабочих дней оценивает обоснованность прошения.

25. Предприятие предоставляет официальную форму прошения, которую субъект данных подписывает и пересылает предприятию.

26. Если устанавливается, что прошение обоснованное, Предприятие обязано:

26.1. не позднее, чем в течение 7 рабочих дней удалить персональные данные, связанные с субъектом данных;

26.2. при отсутствии возможности незамедлительно удалить данные, остановить действия по обработке персональных данных субъекта данных и проинформировать субъекта данных о таком действии;

26.3. не позднее, чем в течение 7 рабочих дней с момента удаления персональных данных проинформировать субъекта данных и получателей данных о выполненных действиях, за исключением тех случаев, когда предоставление информации получателям данных невозможно из-за слишком большого количества субъекта данных и необоснованно больших затрат.

ГЛАВА V

ОСУЩЕСТВЛЕНИЕ ПРАВА НА ОГРАНИЧЕНИЕ ОБРАБОТКИ СВОИХ ПЕРСОНАЛЬНЫХ ДАННЫХ НА ПРЕДПРИЯТИИ

27. Субъект данных вправе просить, чтобы Предприятие ограничило бы действия по обработке его персональных данных при наличии одного из следующих оснований:

27.1. субъект данных оспаривает точность обрабатываемых на Предприятии его персональных данных. В таком случае обработка персональных данных субъекта данных ограничивается на такой период, в течение которого Предприятие проверяет точность персональных данных;

27.2. установлено, что обработка персональных данных субъекта данных была незаконной и субъект данных не согласен, чтобы персональные данные были бы удалены, и вместо этого просит ограничить их обработку;

27.3. если Предприятию больше не нужны персональные данные субъекта данных в установленных целях обработки данных, но они нужны субъекту данных, который намеревается заявить, исполнить или защитить юридические требования, в качестве физического лица или бизнес-субъекта;

27.4. субъект данных, подал прошение, в котором выразил несогласие на обработку Предприятием его персональных данных. В таком случае обработка персональных данных субъекта данных может быть ограничена, пока не будет проверена обоснованность такого прошения субъекта данных.

28. Предприятие после получения прошения субъекта данных ограничить действия по обработке его персональных данных не позднее, чем в течение 10 рабочих дней оценивает обоснованность прошения.

29. Если устанавливается, что прошение обоснованное, Предприятие обязано:

29.1. ограничить обработку персональных данных субъекта данных;

29.2. не позднее, чем в течение 7 рабочих дней с момента принятия решения об ограничении обработки персональных данных проинформировать субъекта данных и получателей данных о выполненных действиях, за исключением тех случаев, когда предоставление информации получателям данных невозможно из-за слишком большого количества субъекта данных и необоснованно больших затрат.

30. Перед тем, как снять ограничение на обработку персональных данных субъекта данных, Комиссия в письменном виде уведомляет субъекта данных.

ГЛАВА VI

ОСУЩЕСТВЛЕНИЕ ПРАВА НЕ СОГЛАСИТЬСЯ С ОБРАБОТКОЙ СВОИХ ПЕРСОНАЛЬНЫХ ДАННЫХ НА ПРЕДПРИЯТИИ

31. Если Предприятие обрабатывает персональные данные субъекта данных с целью законных интересов Предприятия, то субъект данных вправе обратиться к Предприятию по поводу несогласия, чтобы Предприятие или третьи лица, связанные с деятельностью Предприятия, обрабатывали бы его персональные данные.

32. Предприятие после получения прошения субъекта данных осуществить его право не согласиться с обработкой персональных данных не позднее, чем в течение 10 рабочих дней оценивает обоснованность прошения.

33. Если устанавливается, что прошение субъекта данных обоснованное, то Предприятие не позднее, чем в течение 14 дней информирует субъекта данных, что его прошение будет выполнено.

34. Если устанавливается, что прошение субъекта данных необоснованное, то Предприятие обязано в ответе аргументированно доказать, что персональные данные субъекта данных обрабатываются на Предприятии либо третьими сторонами, связанными с осуществляемой Предприятием деятельностью, по законным причинам, которые превышают интересы, права и свободы субъекта данных.

ГЛАВА VII

ОСУЩЕСТВЛЕНИЕ ПРАВА НА ПЕРЕНОС ПЕРСОНАЛЬНЫХ ДАННЫХ НА ПРЕДПРИЯТИИ

35. Субъект данных вправе обратиться к Предприятию с прошением получить связанные с ним персональные данные, которые он предоставил Предприятию в систематизированном, обычно используемом и читаемом на компьютере формате, и вправе просить переслать эти данные в таком же формате другому контроллеру данных, если:

35.1. обработка персональных данных субъекта данных основана на:

35.1.1. согласии субъекта данных;

35.1.2. исполнении договора между Предприятием и субъектом данных;

35.2. персональные данные обрабатываются автоматизированными средствами.

36.  Для того, чтобы выполнить прошение субъекта о праве на перенос персональных данных, должны быть выполнены все условия, указанные в пункте 35.

37. Предприятие после получения прошения субъекта данных осуществить его право на перенос персональных данных не позднее, чем в течение 14 рабочих дней оценивает обоснованность прошения.

38. Информация может предоставляться:

38.1. субъекту данных;

38.2. другому контроллеру данных:

38.2.1. если субъект данных указывает в прошении, что персональные данные должны быть перенаправлены другому контроллеру данных;

38.2.2. если имеются технические возможности предоставить персональные данные напрямую другому контроллеру данных.

39. Если прошение субъекта данных о переносе персональных данных выполняется, то не оценивается, имеется ли у контроллера данных, которому будут переданы персональные данные субъекта данных, правовое основание на их получение и обеспечит ли этот контроллер данных надлежащие меры по безопасности персональных данных. Не берёт на себя ответственности за дальнейшую обработку перенесённых персональных данных, которую будет проводить другой контроллер данных.

40. Если персональные данные обрабатываются при выполнении функций публичной власти, возложенные на контроллера данных, то субъекту данных не будет предоставлено право на перенос данных.

41. Если данные, которые будут переноситься, субъект данных желает получить на свой носитель, то Предприятие не берёт на себя ответственности за дальнейшую обработку перенесённых персональных данных и применение мер по безопасности персональных данных после передачи.

РАЗДЕЛ III

ПОДАЧА ПРОШЕНИЯ ОБ ОСУЩЕСТВЛЕНИИ ПРАВ СУБЪЕКТА ДАННЫХ

42. Субъекты данных с целью осуществления своих прав должны предъявить Предприятию письменное прошение в официально утверждённой форме лично, по почте или электронными средствами связи.

43. Прошение должно быть разборчивым, подписано лицом, в нём должны быть указаны имя, фамилия, место жительства субъекта данных, данные для поддержания связи и информация о том, какое из указанных в Описании прав и в каком объёме субъект данных желает осуществить.

44. Подавая прошение, субъект данных обязан удостоверить свою личность:

44.1. подавая прошение работнику Предприятия, принимающему прошение, должен предъявить документ, удостоверяющий личность;

44.2. подавая прошение по почте или через курьера, должен предъявить нотариально заверенную копию документа, удостоверяющего личность, или копию этого документа, удостоверенную в другом порядке, установленном правовыми актами;

44.3. подавая прошение электронными средствами связи, должен подписать его электронной подписью.

45. Субъект данных может осуществлять свои права на Предприятии самостоятельно или через уполномоченного представителя.

46. Если от имени субъекта данных к Предприятию обращается представитель лица, то он в своём прошении должен указать своё имя, фамилию, место жительства, информацию о том, какое из указанных в Описании прав и в каком объёме желает осуществить, и приложить документ, подтверждающий представительство, или его копию. Поданное представителем прошение должно соответствовать требованиям, установленным разделом III настоящего Описания. 

47. Информация личного характера по телефону не предоставляется.

РАЗДЕЛ IV

РАССМОТРЕНИЕ ПРОШЕНИЯ ОБ ОСУЩЕСТВЛЕНИИ ПРАВ СУБЪЕКТОВ ДАННЫХ

48. На предприятии прошение субъекта данных или его представителя, которое подано при несоблюдении требований для удостоверения личности, установленных пунктами Описания, либо без указанных прав, которыми хочет воспользоваться, не рассматривается, если руководитель Предприятия не принимает иное решение. О причинах отказа в рассмотрении прошения Предприятие в письменном виде информирует лицо, которым подано прошение.

49. Предприятие после получения прошения субъекта данных осуществить его права, в качестве субъекта данных, не позднее, чем в течение сроков, установленных настоящим Описанием, рассматривает его и даёт ответ.

50. Предприятие даёт ответ субъекту данных на государственном языке выбранным субъектом данных способом: личное вручение, по почте или электронными средствами связи. Если для реализации прав выясняется, что в представляемых документах будут чувствительные данные либо их представление может нарушить безопасность персональных данных и их невозможно доставить лицу выбранным им способом, то данные такого типа отдаются лицу либо его уполномоченному представителю лично во время посещения Предприятия.

51. Предприятие, отказываясь выполнить прошение субъекта данных осуществить его права, в качестве субъекта данных, информирует субъекта данных в письменном виде о причинах отказа и указывает порядок обжалования отказа в предоставлении информации.

52. Отказ предприятия осуществить права субъекта данных в порядке, установленном правовыми актами, может быть обжалован в Государственную инспекцию по защите данных со дня получения ответа от Предприятия либо в течение 3 месяцев с того дня, когда заканчивается срок для дачи ответа, установленный настоящим Описанием.

53. Права субъекта данных на Предприятии осуществляются один раз в год безвозмездно.

53.1. Если прошения субъекта данных осуществить права очевидно необоснованные или непропорциональные, прежде всего, ввиду их повторяющегося содержания, предприятие может отказаться выполнять прошение субъекта данных, в письменном виде уведомив о причинах отказа и порядке обжалования.

54. Предприятие, реализуя права субъекта данных, обеспечивает, что не будет нарушено право других лиц на неприкосновенность частной жизни.

55. Во всех случаях субъекта данных, желающего воспользоваться своими правами, просят заполнить официальное прошение, утверждённое руководителем Предприятия, которое просят принести, когда субъект данных приходит за ответами об осуществлении прав.  

РАЗДЕЛ V

МЕРОПРИЯТИЯ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, СРОКИ ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

56. Чтобы обеспечить защиту персональных данных, Предприятие выполняет или планирует выполнять следующие мероприятия по защите персональных данных в соответствии с принципами прикладной и стандартизированной защиты:

(a) Административные (определение безопасного порядка обработки документов, компьютерных данных и их архивов, а также организации труда в различных сферах деятельности, обучение персонала, и т.д.);

(б) защита технического и программного обеспечения (администрирование информационных систем и баз данных, надзор за рабочими местами, помещениями, защита операционных систем, защита от компьютерных вирусов, использование официального оборудования и программ, и т.д.).

57. Предприятие хранит персональные данные не дольше, чем этого требуют цели обработки данных и установленные правовые акты.

57.1. Персональные данные в среднем хранятся 10 (десять) лет со дня прекращения трудовых отношений.

57.2. Данные, собранные файлами куки, используются в целях улучшения сайта и в среднем хранятся два года.

57.3. Электронные письма в среднем хранятся три года.

58. Если персональные данные больше не нужны в целях их обработки, то они могут быть удалены безопасным и не восстанавливающим данные методом, за исключением тех, которые в установленных законодательством случаях должны быть переданы в архив (-ы) учреждения или соответствующих учреждений, осуществляющих контроль за деятельностью учреждения.

РАЗДЕЛ VI

ФАКТОРЫ РИСКА НАРУШЕНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

59. Нарушение защиты персональных данных – это действия или бездействие, которые могут вызвать или вызывают нежелательные последствия, а также противоречат императивным нормам законов, регламентирующих защиту персональных данных. Степень влияния нарушения защиты персональных данных, ущерб и последствия в каждом конкретном случае устанавливает руководитель Предприятия и созданная им комиссия, но не позднее, чем в течение 72 часов принимает решение и информирует инспекцию по защите данных, а в случае необходимости и субъекта данных, данным которого был причинён ущерб.

60. Факторы риска нарушения защиты персональных данных:

(a) непреднамеренные, если нарушение защиты персональных данных вызвано случайными причинами (ошибки в обработке данных, удаление, уничтожение информационных носителей, записей данных, определение неверных маршрутов (адресов) при передаче данных и т.д., или неполадки в системах в результате сбоя электроснабжения, компьютерного вируса и т.д., нарушение внутреннего распорядка, недостаток надзора за системой, тесты программного обеспечения, ненадлежащий присмотр за носителями данных, неподходящая мощность линий и их защита, интеграция компьютеров в сеть, недостаточная защита компьютерных программ, материалов для факса, и т.д.);

(б) преднамеренные, если нарушение защиты персональных данных сознательное (незаконное вторжение в помещения Предприятия, информационные системы, компьютерную сеть, злостное нарушение установленных правил при обработке персональных данных, сознательное распространение компьютерного вируса, кража персональных данных, незаконное пользование правами другого работника, незаконное копирование, уничтожение документов, и т.д.);

(в) неожиданные случайные происшествия (форс-мажор) (молния, пожар, наводнение, потоп, гроза, возгорание электропроводки, воздействие изменений температуры и/или влажности, влияние грязи, пыли и магнитных полей, случайные технические аварии, другие непреодолимые и/или неконтролируемые факторы, и т.д.).

РАЗДЕЛ VII

ВИДЕОНАБЛЮДЕНИЕ

61. Чтобы обеспечить общественный порядок и защитить имущество Предприятия от порчи или потери, учреждением ведётся видеонаблюдение.

62. О ведении видеонаблюдения в помещениях учреждения и (или) на его территории субъектов данных предупреждают информационным знаком.

63. Данные, накопленные средствами систем видеонаблюдения, хранятся на устройствах для записи видеоданных Предприятия не более 7 дней. За исключением случаев, когда есть подозрение, что могло быть совершено преступное деяние, административное правонарушение либо было испорчено имущество Предприятия, работника или третьих лиц. В указанном случае данные видеонаблюдения хранятся столько, сколько требуют цели обработки этих данных, и удаляются неавтоматическим способом незамедлительно, когда становятся ненужными в целях их обработки. Данные, накопленные средствами систем видеонаблюдения, уничтожаются автоматически по окончании периода их действия.

64. Обрабатывать данные, накопленные средствами систем видеонаблюдения (открывать, просматривать, снимать копии и удалять неавтоматическим способом), вправе только руководитель учреждения.

65. Данные, накопленные средствами систем видеонаблюдения, могут использоваться только для раскрытия при подозрении на преступные деяния, административных правонарушений либо доказательства ущерба, причинённого имуществу учреждения, работников или третьих лиц в результате порчи. Для расследования нарушений общественного порядка в установленном законодательством порядке данные могут быть переданы только лицам, обладающим правом на получение этих данных.

РАЗДЕЛ VIII

ЛИЦА, ОТВЕТСТВЕННЫЕ ЗА ЗАЩИТУ ДАННЫХ

66. Обработку и защиту персональных данных обязан обеспечивать каждый работник учреждения, работающий с персональными данными. Обязательства этих работников:

66.1. присматривать, чтобы обработка персональных данных велась бы при соблюдении положений Регламента о правовой защите персональных данных, настоящих Правил и прочих правовых актов, регламентирующих защиту данных;

66.2. выдвигать предложения, предоставлять выводы руководителю учреждения по защите данных и определению мероприятий по обработке данных, присматривать, как эти мероприятия выполняются и используются;

66.3. незамедлительно принимать меры для устранения нарушений по обработке персональных данных.

67. За законность действий работников по обработке персональных данных и присмотр за выполнением правил обработки персональных данных на предприятии назначен ответственный координатор по присмотру за персональными данными, которым является исполнительный директор.

РАЗДЕЛ IX

ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

68. Работники предприятия при выполнении своих функций и обработке персональных данных обязаны соблюдать основные требования по обработке персональных данных:

69. сбор персональных данных ведётся в целях, указанных в настоящих правилах, установленных правовыми актами, а их обработка – способами в соответствии с этими целями;

70. во время сбора и обработки персональных данных соблюдать принципы целесообразности и пропорциональности, не требовать от субъектов данных предоставлять такие данные, которые не нужны, не накапливаются и не обрабатываются избыточные данные;

71. обработка персональных данных ведётся точно, добросовестно и законно;

72. персональные данные должны быть точными и, если требуется для обработки персональных данных, постоянно обновляться; неточные или неполные данные должны быть исправлены, дополнены, удалены либо остановлена их обработка;

73. персональные данные должны быть идентичными, подходящими и только в таком объёме, который требуется для их сбора и дальнейшей обработки;

74. персональные данные хранятся в такой форме, что тождественность субъектов данных устанавливается не дольше, чем нужно для целей, ради которых ведётся сбор и обработка этих данных;

75. сбор персональных данных на Предприятии ведётся только в порядке, установленном правовыми актами, при их получении напрямую от субъекта данных, официальном запросе необходимой информации у субъектов, обрабатывающих данные и имеющих право на их предоставление, по прошению (в случае однократного сбора персональных данных) либо по договору о предоставлении персональных данных (в случае многократного сбора персональных данных), соответствующих требованиям Закона о правовой защите персональных данных, при получении вместе с оригиналами документов или их копиями во время проверок, от других субъектов, при использовании технических средств или вместе с собранной другой информацией, необходимой для выполнения рабочих функций Предприятия;

76. сроки хранения персональных данных и действия, которые выполняются по окончании этого срока, устанавливаются правовыми актами, регламентирующими обработку соответствующих персональных данных. Персональные данные хранятся не дольше, чем этого требуют цели обработки данных. Конкретные сроки хранения личных документов установлены описанием управления документами, утверждённым руководителем Предприятия. Если персональные данные больше не нужны в целях их обработки, их уничтожают;

77. работники вправе вести сбор, обрабатывать, передавать, хранить, уничтожать или иначе использовать персональные данные только при выполнении своих прямых трудовых функций, указанных в должностной инструкции, либо возложенных на них по поручению руководителя Предприятия и только в порядке, установленном правовыми актами. В информационной системе работники работают только с разрешёнными им функциями и только с закреплёнными за ними документами;

78. работники могут обрабатывать персональные данные автоматическим способом только после того, когда такие полномочия предоставлены им руководителем Предприятия и в установленном правовыми актами порядке им предоставлено право доступа к материалам личных документов, в которых содержатся персональные данные, либо к соответствующей информационной системе. После прекращения трудовых отношений права доступа работника к регистрам и другим программам аннулируются в порядке, установленном правовыми актами;

79. работников, которым предоставлено право на обработку персональных данных, информируют и обучают в порядке, установленном субъектами, которыми предоставлено право доступа к соответствующей информационной системе. В других случаях работников обучают обработке персональных данных и информируют их назначенные руководителем Предприятия лица, ответственные за защиту данных, либо аккредитованный поставщик обучающих услуг;

80. руководитель предприятия или его уполномоченные лица обязаны обеспечить соблюдение основных требований по обработке персональных данных на рабочем месте и после работы, контролировать, как работники и должностные лица обрабатывают персональные данные, незамедлительно принимать соответствующие организационные меры (издание приказов, предписаний, рекомендаций) для устранения нарушений в обработке персональных данных, чтобы исполнить возложенные на контроллера данных обязательств (например, обязать прекратить действия по обработке данных, нарушающие незаконные требования или требования по защите персональных данных, в установленном порядке засекретить персональные данные, уничтожить копии документов, в которых указаны персональные данные, и т.д.);

81. при подготовке проектов различных писем Предприятия, решений и других документов избегать использования избыточных данных о физических лицах, в том числе персональные данные экономического характера, если этого не требуют закон, официально утверждённая форма государственного документа или другие обстоятельства, связанные с подготовкой конкретного документа;

82. в тех случаях, когда необходимо использовать непубличные персональные данные в общественно публикуемом документе – делается выписка из документа. Например, при использовании в документе имени и фамилии делается выписка из обезличенного документа с инициалами имени и фамилии и наверху первого листа выписки из документа в правом углу пишется „Обезличенная выписка из документа“ (например, если это решение, пишется „Обезличенная выписка из решения“);

83. технические средства используются только после информирования лиц, чьи данные будут фиксироваться, что будут использоваться соответствующие средства и вноситься надписи. Использование технических средств фиксируется в протоколах;

84. ознакомление третьих лиц с документами, фотографиями, аудио- или видеозаписями, в которых содержатся персональные данные, запрещается. Другим лицам может быть разрешено ознакомиться с информацией, содержащей персональные данные, только если это необходимо для обеспечения их прав. Третьими сторонами не считаются правоохранительные органы или другие уполномоченные правовыми актами учреждения, имеющие юридическую силу запрашивать определённые документы, связанные с персональными данными;

85. решение, должны ли быть уничтожены аудиозаписи, сделанные во время принятия решения, или приложены к личному делу, принимает руководитель до опубликования решения лицу, подавшему прошение (жалобу);

86. работники обязаны соблюдать условия договора о конфиденциальности. Обязанность хранить персональные данные в тайне также действует для работников, которые назначаются на другую должность и после прекращения трудовых отношений с Предприятием;

87. на предприятии применяются организационные и технические мероприятия по защите персональных данных (в дальнейшем – мероприятия по безопасности);

88. документы, которые не подшиваются в используемые в работе Предприятия личные дела и не архивируются, или по ошибке полученные документы и (или) их копии, в которых указываются персональные данные, уничтожаются таким способом, чтобы эти документы невозможно было бы восстановить и распознать их содержания, либо невскрытые они возвращаются отправителю. Для этой цели работники Предприятия пользуются шредерами или услугами предприятия по уничтожению документов;

89. ненужные компьютерные файлы, в которых содержатся персональные данные, удаляются или иначе уничтожаются, а используемые – шифруются, чтобы их нельзя было бы открыть без кода для подключения;

90. документы с персональными данными и выписки из них подшиваются к материалу дела и дополнительно переносятся в безопасную электронную систему. В качестве безопасной электронной системы предприятием выбран поставщик ,,облачного файла”: DropBox;

91. отдел администрирования обеспечивает ознакомление работников Предприятия под подпись с настоящими Правилами и обязует хранить персональные данные в тайне, если эти персональные данные не предназначены для общественного опубликования либо публично не опубликованы;

92. работники, на чьих компьютерах хранятся персональные данные, либо с чьих компьютеров можно получить доступ к источникам, в которых хранятся персональные данные, для доступа к персональным данным используют пароли, которые предоставляют, изменяют и хранят с обеспечением их конфиденциальности. Пароли уникальные, составленные не менее, чем из 8 символов, без использования информации личного характера, изменяются не реже, чем раз в 3 месяца;

93. электронные дела, которые содержатся в информационной системе Предприятия, где ведётся накопление персональных данных, доступны только тем работникам Предприятия, которым предоставлен доступ;

94. на компьютерах установлены антивирусные программы и обеспечивается их обновление;

95. резервные копии данных делаются один раз в сутки и хранятся на резервном сервере, с которого в случае аварийной потери данные могут быть восстановлены.

РАЗДЕЛ X

ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

96. Контроль за соблюдением правил и в случае необходимости их пересмотр не реже, чем раз в год возлагается на руководителя Предприятия или его уполномоченное лицо.

97. Ответственные работники Предприятия, которые обрабатывают персональные данные, с правилами обработки персональных данных ознакомляются под подпись.

98. С координатором по защите персональных данных можно связаться: ardalisi@mail.ru