Политика в отношении обработки и защиты персональных данных

1.    Общие положения

1.1.    В соответствии с действующим законодательством персональные данные (далее - ПДн) являются информацией ограниченного доступа (конфиденциального характера). ПДн могут обрабатываться самостоятельно или в составе другой информации конфиденциального характера, порядок обработки которой устанавливается отраслевыми Федеральными законами и иными отраслевыми нормативными правовыми актами. Порядок обработки ПДн в ООО «C7 Тренинг» (далее по тексту — Организация), регулируется настоящей Политикой, в соответствии с требованиями применимого законодательства в области организации обработки и обеспечения безопасности ПДн, а также положениями иных нормативных правовыx актов, если в них установлен порядок обработки информации конфиденциального характера.
1.2.    Организация хранения, учета и использования ПДн в Организации осуществляется в соответствии с требованиями применимого законодательства в области обработки и обеспечения безопасности ПДн, а также локальными нормативными актами Организации.

2.    Условия обработки персональных данных

2.1.    Обработка ПДн в Организации осуществляется с соблюдением принципов и правил, предусмотренных применимым законодательством в области организации обработки и обеспечения безопасности ПДн.
2.2.    К обработке ПДн в Организации допускаются работники, прошедшие процедуру допуска.
2.3.    При обработке не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
2.4.    Передача ПДн третьим лицам осуществляется только с целью исполнения обязанностей перед субъектом ПДн в рамках договора, либо, когда такая обязанность у Организации наступает в результате требований законодательства или при поступлении запроса от уполномоченных органов. В последнем случае Организация ограничивает передачу ПДн запрошенным объемом.
2.5.    При передаче ПДн в электронном виде третьим лицам по открытым каналам связи Организация обеспечивает все необходимые меры по защите передаваемой информации в соответствии с требованиями нормативно-методических документов в области защиты ПДн.
2.6.    Организация обязуется прекратить обработку ПДн и в сроки, установленные применимым законодательством в области организации обработки и обеспечения безопасности ПД, уничтожить собранные ПДн, если иное не установлено применимым законодательством, в следующих случаях:
а)    по достижении целей обработки ПДн или при утрате необходимости в их достижении;
b) по требованию субъекта ПДн или уполномоченного органа по защите прав субъектов ПДн, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
с) при отзыве субъектом ПДн согласия на обработку своих ПД, если такое согласие требуется в соответствии с требованиями применимого законодательства;                                                                      d)при невозможности устранения Организацией допущенных несоответствий при обработке ПДн.

3    Конфиденциальность персональных данных

3.1.    В соответствии с Указом Президента Российской Федерации от 06.03.1997г. N-°188 «Об утверждении перечня сведений конфиденциального характера», ПДн относятся к сведениям конфиденциального характера.
3.2.    Обеспечение конфиденциальности ПДн осуществляется Организацией и иными лицами, получившими доступ к ПДн посредством не раскрытия их третьим лицам и не распространения ПДн без согласия субъекта ПДн, если иное не предусмотрено применимым законодательством.
3.3.    На обезличенные и общедоступные ПДн субъекта, не распространяется требование конфиденциальности ПДн, если иное не предусмотрено применимым законодательством.

4.    Перечень субъектов персональных данных, обрабатываемых в организации
 
4.1.    Организация обрабатывает ПДн следующих категорий субъектов ПДн.

  работники оператора, бывшие работники, получатели алиментов, а тате родственники работников;  
  физические лица, оказывающие услуги по договору на оказание услуг; 
  кандидаты на замещение вакантных должностей;  
  посетители офиса; 
  клиенты и контрагенты оператора (физические лица);  
  потенциальные контрагенты; 
  владельцы\бенефициары контрагентов и потенциальных контрагентов;  
  представители\работники клиентов и контрагентов оператора (юридических лиц).

5.    Цели обработки, категории и перечень персональных данных, обрабатываемых в организации

5.1.    ПДн обрабатываются в Организации в следующих целях:
5.1.1.    обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Организации•
5.1.2.    осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации, в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а тате в иные государственные органы; 
5.1 В. регулирования трудовых отношений с работниками Организации (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
5.1.4.    защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
5.1.5.    подготовки, заключения, исполнения и прекращения договоров с контрагентами;
5.1.6.    обеспечения пропускного и внутриобъектового режимов;
5.1.7.    исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
5.1.8.    осуществления прав и законных интересов Организации в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Организации, или третьих лиц либо достижения общественно значимых целей;
5.1.9.    в иных законных целях.

5.2.    Перечень ПДн, обрабатываемых в Организации, определяется в соответствии с требованиями применимого законодательства в области организации обработки и обеспечения безопасности ПД и локальными нормативными актами Организации с учётом целей обработки ПДн, указанных в р.5.1.
 

6.    Права субъекта персональных данных

6.1.    Субъект ПДн имеет право:
а) на получение ПДн, относящихся к данному субъекту, и информации, касающейся их обработки;
b) на уточнение, блокирование или уничтожение его ПДн в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
с)    на отзыв данного им согласия на обработку ПДн;
d) на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке;   на обжалование действий или бездействия Организации в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.

6.2.    Для реализации и защиты своих прав и законных интересов субъект ПДн имеет право обратиться в Организацию по адресу: 142072, Московская область, город Домодедово, село Битягово, территория С7 ИНВЕСТ, строение 1. Организация рассматривает любые обращения и жалобы со стороны субъектов ПДн, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке. Запрос должен содержать в себе сведения, указанные в ч. З ст. 14 ФЗ 152 "О персональных данных" 
 

7.    Обработка персональных данных

7.1.    В зависимости от бизнес-функций, реализуемых в Организации, может осуществляться обработка ПДн, как с использованием, так и без использования средств автоматизации.
7.2.    С использованием средств автоматизации могут осуществляться следующие действия с ПДн: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение)  использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение ПДн.
7.3.    Без использования средств автоматизации могут осуществляться следующие действия с ПДн: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), уничтожение ПДн.
7.4.    Источником получения ПДн являются субъекты ПДн либо их законные представители, либо другие законные источники, предусмотренные применимым законодательством.
7.5.    Сроки обработки ПДн определяются исходя из целей обработки ПДн, в соответствии со сроком действия договора с субъектом ПДн, требованиями применимого законодательства, требованиями операторов ПДн, по поручению которых Организация осуществляет обработку ПДн, основными правилами работы архивов организаций, сроками исковой давности,
 

8.    Обеспечение безопасности персональных данных

8.1.    Организация при обработке ПДн принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПДн от неправомерного или  случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в  отношении ПДн 
8.2.    Меры по обеспечению безопасности ПДн при их обработке, применяемые Организацией,   реализуются в целях обеспечения соответствия требованиям применимого законодательства в области организации обработки и обеспечения безопасности ПДн.
8.3.    В соответствии с требованиями применимого законодательства в области организации  обработки и обеспечения безопасности ПДн, Организация самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения требований законодательства. Организация, в частности, приняла следующие меры:

Назначен ответственный за организацию обработки ПДн ;
Разработаны и утверждены локальные акты по вопросам обработки ПДн, а тате локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений установленных процедур по обработке ПДн и устранение последствий таких нарушений; 
Применяются правовые, организационные и технические меры по обеспечению безопасности ПДн в соответствии со статьей  19 ФЗ-152;
Осуществляется внутренний контроль соответствия обработки ПДн ФЗ-152 и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике в отношении обработки ПДн, локальным актам Организации; Проводится оценка вреда, который может быть причинен субъектам ПДн в случае нарушения ФЗ-152, соотношение указанного вреда и. принимаемых Организацией мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ-152; Работники Организации, непосредственно осуществляющие обработку ПДн, ознакомлены с положениями применимого законодательства в области организации обработки и обеспечения безопасности ПД, документами, определяющими политику Организации в отношении обработки ПДн, локальными актами по вопросам обработки ПДн.
 

9.    Контроль за соблюдением законодательства Российской Федерации и локальных нормативных актов в области персональных данных, в том числе требований к защите персональных данных
9.1.    Контроль за соблюдением структурными подразделениями Организации законодательства Российской Федерации и локальных нормативных актов в области персональных данных, в  том числе требований к защите персональных данных осуществляет Служба информационной безопасности ЗАО «Группа компаний СП.
9.2.    Персональная ответственность за соблюдение требований законодательства Российской Федерации и локальных нормативных актов Организации в области персональных данных, а также за обеспечение конфиденциальности и безопасности персональных данных в подразделениях ООО «С7 Тренинг» возлагается на их руководителей.