ПОЛОЖЕНИЕ

о защите персональных данных при их обработке

в ООО «ПАРТНАМБЕР»

  1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Общество – Общество с ограниченной ответственностью «ПАРТНАМБЕР».

Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Клиент – физическое лицо, которое использует в личных и/или коммерческих целях интернет ресурс и все его составляющие компоненты, расположенный в сети интернет по адресу: https://partnumber.ru/

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор – Общество, самостоятельно или совместно с другими лицами организующий и/или осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных.

Федеральный закон (ФЗ) – Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

  1. ОБЩИЕ ПОЛОЖЕНИЯ

Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «О персональных данных» и иными нормативными правовыми актами Российской Федерации в области персональных данных.

Настоящее Положение устанавливает порядок обработки и систему защиты персональных данных в Обществе.

Настоящее Положение устанавливает обязательные для сотрудников Общества общие требования и правила по работе со всеми видами носителей информации, содержащими персональные данные.

Требования настоящего Положения распространяются на отношения по обработке и защите ПДн, полученных Обществом, как до, так и после утверждения настоящего Положения.

 

2.1. Цели и задачи настоящего Положения

Целью настоящего Положения является обеспечение защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Для исполнения вышеуказанной цели определены следующие задачи:

2.2. Принципы обработки персональных данных

Обработка ПДн осуществляется с соблюдением следующих принципов:

  1. ЮРИДИЧЕСКИЕ АСПЕКТЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Субъекты персональных данных

В Обществе обрабатываются персональные данные следующих категорий субъектов персональных данных:

3.2. Цели обработки персональных данных

Целями обработки персональных данных в Обществе являются:

3.3. Условия обработки персональных данных

Обработка персональных данных в Обществе осуществляется на основании настоящего Положения, а также действующего законодательства Российской Федерации в области персональных данных.

Обработка персональных данных в Обществе осуществляется в соответствии с целями, предусмотренными настоящим Положением и действующим законодательством Российской Федерации.

Обработка персональных данных осуществляется Обществом с согласия субъекта персональных данных.

Общество вправе обрабатывать персональные данные без согласия субъекта персональных данных (или при отзыве согласия на обработку персональных данных субъектом) при наличии основании, предусмотренных действующим законодательством Российской Федерации.

3.4. Режим конфиденциальности персональных данных

Общество обеспечивает конфиденциальность и безопасность персональных данных при их обработке в соответствии с требованиями законодательства Российской Федерации.

Общество не раскрывает третьим лицам и не распространяет персональные данные без согласия на это субъекта персональных данных, если иное не предусмотрено федеральным законом.

В соответствии с перечнем персональных данных, обрабатываемых информационной системой персональных данных Общества персональные данные субъектов ПДн являются конфиденциальной информацией.

Режим конфиденциальности персональных данных работников Общества снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, если иное не определено законодательством Российской Федерации.

Руководители структурных подразделений (единиц), в которых осуществляется обработка персональных данных субъектов ПДн, обязаны принимать меры по обеспечению конфиденциальности и безопасности персональных данных при их обработке подчиненными.

Лица, осуществляющие обработку персональных данных, обязаны соблюдать требования регламентирующих документов Общества (и/или договоров и соглашений с Обществом) в части обеспечения конфиденциальности и безопасности персональных данных.

Обеспечения конфиденциальности персональных данных не требуется в случае их обезличивания, а также в отношении общедоступных персональных данных.

3.5. Источники получения персональных данных

Источники получения персональных данных Клиентов Общества:

Общество получает сведения о Клиенте, относящиеся к категории ПДн, на основании информации, предоставленной Клиентом. Общество не имеет права собирать и обрабатывать персональные данные Клиента о его расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.

Общество не имеет права получать и обрабатывать персональные данные Клиента о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Федеральным законом.

Письменное согласие Клиента на обработку своих персональных данных должно включать в себя в т.ч., но не ограничиваясь:

Источники получения персональных данных партнеров Общества:

Источником персональных данных является непосредственно партнер Общества. Если персональные данные возможно получить только у третьей стороны, то партнер Общества должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие.

Письменное согласие партнера Общества на обработку своих персональных данных должно включать в себя в т.ч., но не ограничиваясь:

3.6. Права субъектов персональных данных

Права Клиента и партнера Общества или его представителя (участников обработки персональных данных):

Клиент и партнер Общества или его представитель имеют право на получение сведений об операторе, о наличии у него персональных данных, относящихся к конкретному субъекту персональных данных (Клиенту, партнеру Общества или его представителю), а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона.

Клиент и партнер Общества или его представитель имеют право на получение от оператора при личном обращении в Общество, либо при получении Обществом письменного запроса Клиента, партнера Общества или его представителя следующей информации, касающейся обработки его персональных данных, в том числе содержащей:

Право Клиента, партнера Общества или его представителя на доступ к их персональным данным в Обществе может быть ограничено в случае, если:

Клиент, партнер Общества или его представитель имеют право обжаловать в уполномоченном органе по защите прав субъектов ПДн или в судебном порядке действия или бездействие Общества, если считает, что Общество осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы.

Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

3.7. Обязанность Общества:

При сборе персональных данных Общество обязано предоставить субъекту ПДн по его просьбе информацию, предусмотренную пунктом 3.6. настоящего Положения.

Общество обязано разъяснить субъекту ПДн юридические последствия отказа предоставить свои персональные данные, в случае если получение таких данных необходимо Обществу для исполнения своих функций и если это не противоречит законодательству Российской Федерации.

Общество освобождается от обязанности предоставить субъекту ПДн указанную информацию в случаях, если:

По факту личного обращения, либо при получении письменного запроса субъекта ПДн или его представителя, Общество, при наличии оснований, обязано при обращении/в течение 30-ти дней с даты получения запроса предоставить сведения в объеме, установленном Федеральным законом. Такие сведения должны быть предоставлены субъекту ПДн в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

Все обращения субъектов ПДн или их представителей регистрируются в Журнале учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных. Журнал учета обращений граждан (субъектов персональных данных) может вестись на бумажном носителе или в электронном виде с возможностью последующей распечатки. Срок хранения Журнала учета обращений граждан (субъектов персональных данных) определяется в соответствии со сроком действия договора с субъектом ПДн, приказом Росархива от 06.10.2000 «Перечень типовых управленческих документов, образующихся в деятельности организации, с указанием сроков хранения», сроком исковой давности, а также иными требованиями законодательства. Ответственный за ведение Журнала учета обращений граждан (субъектов персональных данных) является Ответственное лицо.

В случае отказа в предоставлении субъекту ПДн или его представителю при обращении либо при получении запроса субъекта ПДн или его представителя информации о наличии персональных данных о соответствующем субъекте ПДн, Общество обязано дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи Положение о защите персональных данных при их обработке, являющееся основанием для такого отказа, в срок, не превышающий 30-ти дней со дня обращения субъекта ПДн или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.

Общество обязано безвозмездно предоставить субъекту ПДн или его представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту ПДн. В срок, не превышающий 7-ми рабочих дней с даты предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Общество должно внести в них необходимые изменения. В срок, не превышающий 7-ми рабочих дней с даты предоставления субъектом ПДн или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Общество обязано уничтожить такие персональные данные. Общество обязано уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

В случае получения запроса от уполномоченного органа по защите прав субъектов ПДн о предоставлении информации, необходимой для осуществления деятельности указанного органа, Общество обязано сообщить такую информацию в уполномоченный орган в течение 30-ти дней с даты получения такого запроса.

В случае выявления неправомерной обработки персональных данных при обращении или по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов ПДн Общество обязано осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту ПДн, с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Общество обязано осуществить блокирование персональных данных, относящихся к этому субъекту ПДн, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта ПДн или третьих лиц.

В случае подтверждения факта неточности персональных данных Общество на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязано уточнить персональные данные в течение 7-ми рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

3.8. Уведомление уполномоченного органа по защите прав субъектов персональных данных

В случае изменения сведений, предоставленных в уполномоченный орган по защите прав субъектов ПДн перед началом обработки персональных данных, а также в случае прекращения обработки персональных данных Общество обязано уведомить уполномоченный орган по защите прав субъектов персональных данных о таких изменениях в течение 10-ти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

  1. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Перечень обрабатываемых персональных данных

Перечень обрабатываемых персональных данных Клиентов Общества:

В Обществе обрабатываются следующие персональные данные Клиентов и их представителей, в том числе:

Перечень обрабатываемых персональных данных партнеров Общества

В Обществе обрабатываются следующие персональные данные партнеров Общества, в том числе:

4.2. Лица, имеющие право доступа к персональным данным

Правом доступа к субъектам персональных данных обладают лица, наделенные полномочиями для выполнения своих должностных обязанностей.

Перечень подразделений и должностных лиц, допущенных к обработке персональных данных в Обществе утверждается Приказом Директора Общества.

К персональным данным работников Общества имеют доступ сотрудники Общества, в соответствии с исполнением ими трудовых обязанностей.

Различают следующие виды доступов к персональным данным работников Общества:

К персональным данным Клиентов Общества и партнеров Общества обладают лица, наделенные соответствующими полномочиями в соответствии со своими служебными обязанностями.

В случае если Обществу оказывают услуги юридические и физические лица на основании заключенных договоров (либо иных документов) и в силу данных договоров они должны иметь доступ к персональным данным работников, то соответствующие данные предоставляются Обществом только после подписания с ними соглашения о конфиденциальности.

В исключительных случаях, исходя из договорных отношений с контрагентом, допускается наличие в договорах пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных субъекта.

Допуск к персональным данным субъектов персональных данных сотрудников Общества, не имеющих надлежащим образом оформленного доступа, запрещается.

4.3. Способы обработки персональных данных

В зависимости от бизнес-функций, реализуемых в Обществе, обработка персональных данных может осуществляться как с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и без использования средств автоматизации, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с

заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и /или доступ к таким персональным данным.

С использованием средств автоматизации (без непосредственного участия человека) могут осуществляться следующие действия с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных.

Обработка ПДн, содержащихся в ИСПДн либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации, если такие действия с ПДн, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека.

4.4. Порядок обработки персональных данных для осуществления деятельности Общества

Порядок обработки персональных данных Клиентов и партнеров Общества

Все документы, поступающие в Общество от Клиентов и партнеров Общества, содержащие персональные данные и удостоверяющие личность Клиентов и партнеров Общества (далее по тексту – «документы» или «документ», если по отдельности), поступившие в Общество, направляются в правовой отдел Общества.

Руководитель правового отдела Общества принимает поступившие документы и распределяет их между специалистами Общества для дальнейшей обработки.

Специалисты Общества принимают поступившие документы от Руководителя правового отдела, осуществляют их проверку. После принятия и проверки документов, специалисты осуществляют ввод данных в информационную систему Общества в объеме необходимом для последующего нормального их использования.

После введения документов в информационную систему Общества и конвертации информации, содержащейся в них в информационных – программных комплексах Общества, они могут быть использованы для последующей обработке персональных данных исключительно в рамках деятельности Общества и в соответствии с заявленными целями обработки персональных данных.

4.5. Передача персональных данных

При передаче персональных данных субъекта ПДн третьей стороне должны соблюдаться следующие требования:

Примечание: Согласия субъекта на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта; когда согласие субъекта на передачу его персональных данных третьим лицам получено от него при заключении договора с Обществом; когда третьи лица оказывают услуги Обществу на основании заключенных договоров, а также в случаях, установленных федеральным законом и настоящим Положением.

Передача персональных данных третьим лицам, осуществляться согласно условий договора, заключенного с Обществом, если третье лицо обеспечивает исполнение деятельности Общества по договорам с клиентами.

Передача документов (иных материальных носителей), содержащих персональные данные субъектов, осуществляется в порядке, установленном действующим законодательством и настоящим Положением, а также условиями действующих договоров субъекта персональных данных с Обществом.

Представителю субъекта персональных данных (в том числе родственникам или членам семьи) персональные данные передаются в порядке, установленном действующим

законодательством и настоящим Положением, при наличии документов, подтверждающих полномочия таких представителей и документов, удостоверяющих личность представителя.

В случае смерти субъекта ПДн персональные данные передаются родственникам или членам семьи при документальном подтверждении родства и/или иным уполномоченным органам в соответствии с действующим законодательством Российской Федерации.

Общество по мотивированному требованию уполномоченного органа государственной власти, иного государственного органа предоставляет им на безвозмездной основе сведения, содержащие персональные данные, в объеме и на условиях, указанных в законодательстве Российской Федерации.

4.6. Порядок и сроки хранения персональных данных в Обществе

Порядок и сроки хранения персональных данных Клиентов и партнеров Общества

Персональные данные Клиентов и партнеров Общества на бумажных носителях подлежат хранению в помещениях Общества и/или в специализированной организации на основании заключенных договоров.

Персональные данные Клиентов и партнеров Общества могут также храниться в электронных базах локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные Клиента, обеспечиваются системой паролей.

Персональные данные на бумажных носителях, используемые в помещениях Общества, в нерабочее время помещаются в металлические запирающиеся шкафы или иные устройства, ограничивающие свободный доступ. Сотрудникам Общества не разрешается при выходе из помещения оставлять какие-либо документы, содержащие персональные данные, на рабочем столе или оставлять запирающиеся устройства незапертыми.

Во время работы с документами, содержащих сведения о персональных данных, допускается хранение таких документов в течение рабочего дня в личных запирающихся устройствах, позволяющих исключить открытый доступ к ним.

На рабочем столе сотрудника должен всегда находиться только тот массив документов, содержащих персональные данные, с которым в настоящий момент он работает. Другие документы, дела, содержащие персональные данные, в течение рабочего времени должны находиться в личных запирающихся устройствах.

Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать Клиента или партнера Общества, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Клиент или партнер Общества. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом и настоящим Положением.

Согласие на обработку персональных данных может быть отозвано Клиентом или партнером Общества в любой момент на основании направленного в Общество отзыва согласия, составленного в простой письменной форме.

4.7. Блокирование персональных данных

Общество обязано блокировать персональные данные или обеспечить их блокирование, в случае:

Блокирование персональных данных в ИСПДн Общества осуществляется на основании письменного заявления субъекта ПДн.

Блокирование персональных данных в ИСПДн Общества производится ответственными администраторами информационной безопасности на основании указания руководителя правового отдела Общества.

4.8. Уничтожение персональных данных

В случае отзыва субъектом ПДн согласия на обработку его персональных данных Общество обязано прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий 30-ти дней с даты поступления указанного отзыва, если иное не предусмотрено законодательством Российской Федерации, нормами архивного хранения документов, содержащих персональные данные работников Общества.

В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного выше, Общество осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами.

Уничтожение персональных данных, хранящихся на бумажном носителе, осуществляется путем разрезания, сжигания, механического уничтожения, сдачи предприятию по утилизации вторичного сырья или иными методами, исключающими возможность восстановления содержания персональных данных.

Уничтожение персональных данных, хранящихся на электронных носителях, осуществляется путем стирания с них информации о персональных данных.

4.9. Порядок ознакомления сотрудников Общества с правилами обработки персональных данных

Сотрудники Общества, задействованные в обработке ПДн, обязаны своевременно ознакомиться с актуальными требованиями к обработке персональных данных, изложенными в настоящем Положении, иными внутренними нормативными актами и документами, а также требованиями законодательства Российской Федерации в сфере обработки и защиты персональных данных.

  1. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

 

Настоящее Положение является обязательным для исполнения всеми сотрудниками Общества, имеющими доступ к персональным данным субъектов ПДн.

Иные права, обязанности, действия сотрудников Общества, в трудовые обязанности которых входит обработка персональных данных, определяются также их должностными инструкциями.

В случае изменения действующего законодательства Российской Федерации, настоящее Положение действует в части, не противоречащей действующему законодательству и действующим внутренним документам Общества, до приведения его в соответствие с такими изменениями.