Соглашение на обработку персональных данных
Текст соглашения на обработку данных:
Политика
обработки персональных данных
акционерного общества "Реконструкция и Модернизация"
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая политика по обработке персональных данных определяет позицию и намерения Акционерного общества «Реконструкция и Модернизация» (АО «РМ») в области обработки и защиты персональных данных лиц, состоящих в договорных отношениях с АО «РМ» и лиц, использующих электронные сервисы на официальном сайте (далее по тексту – «Сайт»), расположенном в сети Интернет по адресу: www.ao-rm.ru.
1.2. Целью настоящей Политики является определение основных принципов, целей, условий и правил обработки персональных данных, а также требований к защите персональных данных субъектов персональных данных.
1.3. Действие настоящей Политики распространяется на все операции, совершаемые АО «РМ» с персональными данными субъектов персональных данных, как с использованием средств автоматизации, так и без использования таковых.
1.4. Настоящая Политика обязательна для ознакомления и исполнения всеми должностными лицами, допущенными к обработке персональных данных в АО «РМ», и лицами, участвующими в организации процессов обработки и обеспечения безопасности персональных данных в АО «РМ».
1.5. Настоящая Политика разработана с учетом требований Конституции Российской Федерации, Федерального закона Российской Федерации от 27.06.2006 г. № 152-ФЗ «О персональных данных» и иных нормативных правовых актов Российской Федерации в области защиты персональных данных.
1.6. Настоящая Политика подлежит актуализации в случае изменения законодательства Российской Федерации в области обработки и защиты персональных данных.
2. ОСНОВНЫЕ ПОНЯТИЯ
2.1. Для целей настоящей Политики используются следующие основные понятия:
- персональные данные – любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
3. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. В соответствии с с подпунктом 2 статьи 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» АО «РМ» является оператором, т.е. юридическим лицом, самостоятельно организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
3.2. Важным условием реализации целей деятельности АО «РМ» является обеспечение защиты прав и свобод человека и гражданина – субъекта персональных данных при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну с учетом следующих принципов:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- обработка персональных данных, несовместимая с целями сбора персональных данных, не допускается;
- объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой, не допускается;
- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки;
- не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
- при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
- хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.3. Целью сбора, обработки, хранения, а также других действий с персональными данными сотрудников, пациентов или третьих лиц (далее – субъектов персональных данных) является исполнение обязательств АО «РМ» по договору с ними.
3.4. Персональные данные обрабатываются в информационных системах персональных данных в целях:
- идентификация субъекта персональных данных в рамках договора/соглашения;
- предоставление субъекту персональных данных персонифицированных услуг, товаров;
- направление субъекту персональных данных уведомлений, запросов, а также иной информации, касающейся пользования сайтом, продажи товаров, оказания услуг, выполнения работ.
4. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка персональных данных в АО «РМ» осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации.
4.2. АО «РМ» не раскрывает третьим лицам персональные данные без отдельного согласия, разрешенного субъектом персональных данных для распространения, если иное не предусмотрено федеральным законом.
4.3. Для внутреннего информационного обеспечения АО «РМ» может создавать внутренние справочные материалы (общедоступные источники персональных данных), в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его ФИО, место работы, должность, год и место рождения, абонентский номер телефона, адрес электронной почты, и другие персональные данные, сообщаемые субъектом. При этом выполняются все требования к осуществлению обработки общедоступных персональных данных, предусмотренные Федеральным законом Российской Федерации «О персональных данных» № 152-ФЗ от 27.06.2006 г.
4.4. АО «РМ» может осуществлять обработку биометрических персональных данных только с согласия субъекта персональных данных.
4.5. АО «РМ» может осуществлять обработку персональных данных субъекта в целях продвижения товаров, работ и услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи только с его согласия.
4.6. АО «РМ» не осуществляет обработку персональных данных в целях политической агитации.
4.7. АО «РМ» не принимает решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.
4.8. АО «РМ», выступая в роли Оператора, может поручать обработку персональных данных третьим лицам. При этом выполняются все требования к поручению обработки персональных данных, предусмотренные Федеральным законом Российской Федерации «О персональных данных» № 152-ФЗ от 27.06.2006 г.
4.9. АО «РМ», выступая в роли Оператора, осуществляет обработку персональных данных смешанным способом (с использованием средств вычислительной техники и без использования средств автоматизации). При этом выполняются все требования, предъявляемые к такой обработке, предусмотренные Федеральным законом Российской Федерации «О персональных данных» № 152-ФЗ от 27.06.2006 г.
4.10. К обработке персональных данных субъектов допускаются только сотрудники, прошедшие определенную процедуру допуска, к которой относится:
- ознакомление сотрудника с локальными нормативными актами, регламентирующими порядок и процедуру работы с персональными данными;
- взятие с сотрудника обязательства о соблюдении конфиденциальности в отношении персональных данных при работе с ними;
- получение сотрудником и использование в работе минимально необходимых для исполнения трудовых обязанностей прав доступа к информационным системам, содержащим в себе персональные данные;
Один раз в полугодие в АО «РМ» проводятся занятия с сотрудниками, обрабатывающими персональные данные, по теме информационной безопасности и правилам работы со сведениями конфиденциального характера.
4.11. АО «РМ» прекращает обработку персональных данных в следующих случаях:
- при достижении целей их обработки либо в случае утраты необходимости в достижении этих целей;
- по требованию субъекта персональных данных, если обрабатываемые персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- в случае выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки персональных данных невозможно;
- в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных;
- в случае отзыва субъектом персональных данных согласия на обработку его данных (если персональные данные обрабатываются на основании согласия);
- в случае ликвидации или реорганизации АО «РМ».
5. ПЕРЕЧЕНЬ СУБЪЕКТОВ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. АО «РМ», выступая в роли оператора, осуществляет обработку персональных данных следующих субъектов:
- посетителей сайта АО «РМ»;
- физических лиц, являющихся стороной по договору гражданско-правового характера, а также физических лиц, являющихся представителями юридического лица – стороны по договору гражданско-правового характера;
- физических лиц, обратившихся с запросом в АО «РМ»;
- работников АО «РМ»;
- соискателей на замещение вакантных должностей АО «РМ».
6. СОСТАВ И ОБЪЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ,
ОБРАБАТЫВАЕМЫХ В АО «РМ»
6.1. Состав и объем персональных данных определяется Перечнем персональных данных, обрабатываемых в АО «РМ» в соответствии с законодательством Российской Федерации и уставной деятельностью с учетом принципов и целей обработки персональных данных, указанных в разделе 3 настоящей Политики.
6.2. В АО «РМ» не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни.
6.3. Перечень персональных данных издается отдельным внутренним локальным актом АО «РМ», утверждается и вводится в действие приказом генерального директора.
7. ОСОБЕННОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ,
СОБИРАЕМЫХ С ПОМОЩЬЮ СЕТИ ИНТЕРНЕТ
7.1. АО «РМ» обрабатывает и защищает персональные данные, поступающие от пользователей сайта, расположенного в сети Интернет по адресу www.ao-rm.ru, а также поступающие на рабочую электронную почту info@ao-rm.ru.
7.2. Существуют два основных способа, с помощью которых АО «РМ» получает данные с помощью сети Интернет:
- предоставление данных пользователем при заполнении соответствующих форм на сайте и посредством направления электронных писем на рабочую почту;
- автоматический сбор данных.
7.3. АО «РМ» может собирать и обрабатывать сведения, не являющиеся персональными данными. К таким сведениям относятся:
- информация об интересах пользователей на сайте на основе введенных поисковых запросов пользователей сайта о предлагаемых услугах с целью предоставления информации;
- обработка и хранение поисковых запросов пользователей сайта с целью обобщения и создания клиентской статистики об использовании разделов сайта.
7.4. АО «РМ» автоматически получает некоторые виды информации, получаемой в процессе взаимодействия пользователей с сайтом.
7.5. Обработка персональных данных, собираемых с использованием сети Интернет, осуществляется с согласия субъекта персональных данных.
8. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных. Для получения указанной информации субъект персональных данных может отправить письменный запрос по адресу: 191023,
г. Санкт-Петербург, ул. Садовая, д. 14/52 литера А, помещение. 10-н, офис 2, р. м. 1 в порядке, установленном ст. 14 Федерального закона от 27.06.2006 № 152-ФЗ «О персональных данных».
8.2. Субъект персональных данных вправе требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
8.3. Субъект персональных данных вправе отозвать свое согласие на обработку персональных данных. Для реализации указанных полномочий субъект персональных данных может отправить письменный запрос по адресу: 191023,
г. Санкт-Петербург, ул. Садовая, д. 14/52 литера А, помещение. 10-н, офис 2, р. м. 1 в порядке, установленном ст. 14 Федерального закона от 27.06.2006 № 152-ФЗ «О персональных данных».
9. МЕРЫ, ПРИНИМАЕМЫЕ АО «РМ» ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ
ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных, устанавливаются в зависимости от уровня защищенности персональных данных в информационных системах и актуальных угроз и включают, но не ограничиваются:
- назначение лица, ответственного за организацию обработки персональных данных в АО «РМ»;
- издание АО «РМ» документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- осуществление внутреннего контроля соответствия обработки персональных данных требованиям законодательства РФ;
- ознакомление работников АО «РМ», непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных;
- организацию обучения работников АО «РМ» по вопросам обработки и защиты персональных данных;
- получение согласий субъектов персональных данных на обработку их персональных данных в случаях, установленных законодательством Российской Федерации;
- установление запрета на передачу персональных данных по открытым каналам связи;
- организацию режима обеспечения безопасности помещений, в которых размещены информационные системы, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих прав доступа в эти помещения;
- проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона Российской Федерации от 27.06.2006 г. № 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых АО «РМ» мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством.
10. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Сроки обработки персональных данных определяются с учетом:
- установленных целей обработки персональных данных;
- сроков действия договоров с субъектом персональных данных и согласий субъектов на обработку их персональных данных;
- сроков хранения документации, установленных внутренними нормативными актами АО «РМ».
11. КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ И ЛОКАЛЬНЫХ НОРМАТИВНЫХ АКТОВ АО «РМ» В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, В ТОМ ЧИСЛЕ ТРЕБОВАНИЙ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Контроль за соблюдением работниками АО «РМ» законодательства Российской Федерации и внутренних локальных нормативных актов в области персональных данных осуществляется с целью проверки соответствия обработки персональных данных требованиям законодательства, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Российской Федерации в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
11.2. Внутренний контроль за соблюдением законодательства Российской Федерации и внутренних локальных нормативных актов в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом, ответственным за организацию обработки и защиты персональных данных.
11.3. Персональная ответственность за соблюдение требований законодательства Российской Федерации и локальных нормативных актов АО «РМ» в области персональных данных, а также за обеспечение конфиденциальности и безопасности персональных данных возлагается на работников АО «РМ», в чьи обязанности входит обработка персональных данных.
12. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
12.1. Пересмотр положений настоящей Политики проводится периодически, не реже одного раза в три года, а также при изменении законодательства Российской Федерации в области персональных данных.
12.2. После пересмотра положений настоящей Политики её актуализированная версия публикуется на официальном сайте АО «РМ».