1. Основные термины и определения
1.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
1.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.3. Информационная система персональных данных (далее – ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.4. Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их раскрытие третьим лицам или их распространение без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
1.5. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
1.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.7. Общедоступные источники персональных данных – источники персональных данных, созданные в целях информационного обеспечения (в том числе справочники, адресные книги) куда с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
1.8. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.9. Персональные данные (далее – ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
1.10. Персональные данные, разрешенные к распространению – ПДн, публикуемые в общедоступных источниках ПДн в соответствии с выданным субъектом ПДн отдельно от других согласий согласием на распространение ПДн, в обязательном порядке содержащим указание на информационный ресурс оператора, через который осуществляется распространение ПДн.
1.11. Предоставление персональных данных – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
1.12. Распространение персональных данных – действия, направленные на раскрытие ПДн неопределенному кругу лиц.
1.13. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн.
1.14. Трансграничная передача ПДн - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2. Общие положения
2.1. Настоящая Политика обработки и защиты персональных данных в ООО «Санрайз Групп» (далее – «Политика») разработана в соответствии с Федеральным законом Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и нормативными правовыми актами (методическими документами) федеральных органов исполнительной власти по вопросам безопасности ПДн при их обработке в ИСПДн.
2.2. Настоящая Политика является основополагающим документом, определяющим принципы, порядок и условия обработки ООО «Санрайз Групп» (далее – «Общество») ПДн, процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, связанных с обработкой ПДн, а также ответственность работников Общества, участвующих в обработке ПДн.
2.3. Политика обязательна для исполнения всеми работниками Общества, непосредственно участвующими в обработке ПДн.
2.4. Настоящая Политика не распространяется на следующие случаи:
-
хранение, комплектование, учет и использование архивных документов, содержащих ПДн, в соответствии с законодательством об архивном деле в Российской Федерации;
-
обработка ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
2.5. Обработка ПДн организована Обществом на принципах:
-
законности целей и способов обработки ПДн, добросовестности и справедливости в деятельности Общества;
-
достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к заявленным целям обработки;
-
недопустимости объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, не совместимых между собой;
-
обеспечения точности ПДн, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки ПДн. Общество принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
-
хранения ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн.
3. Состав обрабатываемых ПДн
3.1. Состав ПДн, обрабатываемых в Обществе, устанавливается в нижеприведенном перечне.
3.1.1. Перечень обрабатываемых в Обществе ПДн работников включает в себя: фамилия, имя, отчество; табельный номер; характер и вид работы; дата рождения; место рождения; гражданство; пол; знание иностранного языка; профессия, квалификация, стаж работы; сведения о предыдущих местах работы, указанных в трудовой / электронной трудовой книжке; семейное положение; уровень образования; наименование учебного заведения, где получено образование, год окончания, номер документа об образовании, специальность в документе об образовании; сведения об основном документе, удостоверяющем личность (номер, серия, дата выдачи, наименование органа, выдавшего документ, код подразделения (если имеется), адрес регистрации, адрес места жительства; номера телефонов и иные контактные данные (в том числе по месту работы); сведения о воинском учете (для военнообязанных лиц, лиц подлежащих призыву на военную службу: серия, номер, дата выдачи, наименование органа выдавшего военный билет, военно-учетная специальность, воинское звание, данные о принятии/снятии с учета и другие сведения); сведения о трудовой деятельности на предприятии (номера и даты приказов (распоряжений) по личному составу, трудовых договоров и дополнительных соглашений к ним, даты приема на работу, изменений условий трудового договора, прекращения трудового договора, наименование предприятия, структурного подразделения, код подразделения, место работы, категория персонала, код профессии, разряд, трудовая функция, наличие срока испытания, условия оплаты труда, форма оплаты, система оплаты, режим рабочего времени, времени отдыха, условия труда, компенсация за тяжелую работу и работу во вредных и/или опасных условиях труда, длительность и период основного отпуска и дополнительного отпуска, обязанности работника, использование рабочего времени, данные о проходе на территорию – выходе с территории Общества, сведения о выполненных работах и другое, ученая степень и награды, сведения о государственных и ведомственных наградах, почетных и специальных званиях, поощрениях (в том числе наименование или название награды, звания или поощрения, дата и вид нормативного акта о награждении или дата поощрения), сведения о повышении квалификации и профессиональной подготовке (включая серию, номер, дату выдачи документа и повышении квалификации или о переподготовке, наименование и местоположение образовательного учреждения и другие сведения), сведения о наличии инвалидности, сведения о социальных льготах и социальном статусе (серия, номер, дата выдачи, наименование органа, выдавшего документ, являющийся основанием для предоставления льгот и статуса, и другие сведения), СНИЛС, ИНН, сведения о номере, серии и дате выдачи трудовой книжки, должность, сведения о тарифной ставке (окладе), надбавках, ежемесячном доходе, начисленных налогах и страховых взносах, суммы удержаний и перечислений, материалы по аттестации и оценке работников, сведения о временной нетрудоспособности, сведения о состоянии здоровья; фото (в аналоговой и цифровой форме); номер пенсионного удостоверения и сведения о назначении пенсии; наличие судимостей (если законодательством Российской Федерации предусмотрена необходимость и возможность обработки таких сведений в отношении конкретной категории работников); номер банковского счета и реквизиты банка; перечень противопоказаний к выполнению трудовой функции, реквизиты медицинских страховых полисов, сведения об алиментах, номер личного мобильного телефона; адрес личной электронной почты, иные данные, необходимые для соблюдения трудового законодательства.
3.1.2. Перечень обрабатываемых в Обществе ПДн родственников работников включает в себя: фамилия, имя, отчество, степень родства, год рождения, номер телефона и иные контактные данные. Для детей и лиц, находящихся на иждивении работника, дополнительно: сведения об основном документе, удостоверяющем личность (серия, номер, дата выдачи, выдавший орган), дата рождения, место рождения, иные данные, необходимые для соблюдения трудового законодательства.
3.1.3. Перечень обрабатываемых в Обществе ПДн кандидатов на замещение вакантных должностей (кандидатов на трудоустройство) включает в себя: фамилия, имя, отчество, пол, год рождения, сведения об основном документе, удостоверяющем личность (серия, номер, дата выдачи, выдавший орган, код подразделения, если имеется), дата рождения, место рождения, гражданство, адрес регистрации, адрес места жительства; номер телефона и иные контактные данные, сведения об образовании, ученая степень и награды, сведения о трудовом стаже и предыдущем опыте работы; иные сведения указанные соискателями, сведения об инвалидности (в том числе индивидуальной программе реабилитации, - ИПР); сведения об освобождении из мест лишения свободы (если законодательством Российской Федерации предусмотрена необходимость и возможность обработки таких сведений в отношении конкретной категории кандидатов), иные данные, необходимые для соблюдения трудового законодательства.
3.1.4. Перечень обрабатываемых в Обществе ПДн клиентов включает в себя: фамилия, имя, отчество; пол; дата рождения; место рождения; данные документа, удостоверяющего личность; адрес регистрации; адрес фактического проживания; образование; телефон (домашний, мобильный); адрес электронной почты; семейное положение; информация о ближайших родственниках; количество детей; место работы; должность; информация о доходах; информация о собственности, включая обременения и ограничения; данные об автомобиле, в том числе стоимость, сумма кредита, дата покупки, VIN; данные о ранее приобретенном автомобиле; данные водительского удостоверения; данные паспорта транспортного средства.
3.1.5. Перечень обрабатываемых в Обществе ПДн ближайших родственников клиентов включает в себя: фамилия, имя, отчество; данные документа, удостоверяющего личность; данные водительского удостоверения; сведения о доходах.
3.1.6. Перечень обрабатываемых в Обществе ПДн посетителей сайта включает в себя: фамилия, имя, отчество; адрес электронной почты; телефон; данные об автомобиле клиента (марка, год выпуска, модель, пробег, цвет); «cookies».
3.1.7. Перечень обрабатываемых в Обществе ПДн партнеров включает в себя: фамилия, имя, отчество; пол; дата рождения; место рождения; данные документа, удостоверяющего личность; адрес регистрации; адрес фактического проживания; образование; телефон (домашний, мобильный); адрес электронной почты; семейное положение; информация о ближайших родственниках; количество детей; место работы; должность; информация о доходах; информация о собственности, включая обременения и ограничения; данные судебных дел с участием партнера; данные исполнительных производств по партнеру; данные об автомобиле, в том числе стоимость, сумма кредита, дата покупки, VIN; данные о ранее приобретенном автомобиле; данные водительского удостоверения; данные паспорта транспортного средства.
3.1.8. Общество имеет право на обработку биометрических данных при получении соответствующего согласия субъекта ПДн или в иных случаях, предусмотренных действующим законодательством. Предоставление биометрических ПДн не может быть обязательным, за исключением случаев, предусмотренных федеральным законом. Общество не вправе отказывать в обслуживании в случае отказа субъекта ПДн предоставить биометрические ПДн и (или) дать согласие на обработку ПДн, если в соответствии с федеральным законом получение обществом согласия на обработку ПДн не является обязательным.
3.1.9. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни Обществом не осуществляется.
4. Цели обработки ПДн
4.1. ПДн работников обрабатываются в целях:
- соблюдения законов и иных нормативных правовых актов;
- содействия работникам в продвижении по службе;
- ведения делопроизводства;
- осуществления видов деятельности, предусмотренных Уставом;
- соблюдения требований трудового и миграционного законодательства;
- оформления медицинских осмотров;
- расчета и выплаты пособий по временной нетрудоспособности;
- определения возможности выполнения трудовой функции;
- контроля количества и качества выполняемой работы;
- обеспечения сохранности имущества;
- ведения кадрового учета, бухгалтерского учета;
- обеспечения личной безопасности работников;
- ведения единого справочника работников;
- оформления бейджей и визитных карточек;
- обеспечение пропускного режима.
4.2. Цели обработки ПДн кандидатов на трудоустройство:
- соблюдение нормативных правовых актов Российской Федерации, локальных актов;
- содействие в трудоустройстве и выборе подходящей должности;
- поддержка связи с кандидатами;
- включение в кадровый резерв.
4.3. Цели обработки ПДн клиентов:
- осуществление связи с клиентом;
- прием жалоб и предложений;
- продвижение товаров, услуг на рынке путем осуществления прямых контактов с клиентом с помощью различных средств связи;
- выполнение договорных обязательств;
- оформление страховых продуктов, в том числе полисов КАСКО, ОСАГО и т.д.;
- оформление кредитов;
- предоставление услуг по гарантийному обслуживанию автомобилей;
- проведение маркетинговых программ;
- проведение статистических исследований, исследований, направленных на улучшение качества продукции и услуг;
- рассылок информации рекламного характера (при наличии отдельного письменного согласия клиента).
4.4. Цели обработки ПДн посетителей сайта:
- информирование о возможности принять участие в акциях, исследованиях, опросах;
- осуществление обратного звонка;
- предоставление доступа субъекту ПДн к сервисам, информации и/или материалам, содержащимся на веб-сайтах Общества;
- рассылок информации рекламного характера (при наличии отдельного письменного согласия посетителя сайта);
- реализация товаров и услуг с помощью сайта.
5. Получение ПДн от субъекта ПДн
5.1. Обработка ПДн осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
5.2. Согласие на обработку ПДн должно быть конкретным, предметным, информированным, сознательным и однозначным, в любой позволяющей подтвердить факт его получения форме.
5.3. В случае недееспособности субъекта ПДн согласие на обработку его ПДн берется у законного представителя субъекта ПДн.
5.4. В случае смерти субъекта ПДн согласие на обработку его ПДн берется у наследников субъекта ПДн, если такое согласие не было дано субъектом ПДн при его жизни.
5.5. В случае получения согласия на обработку ПДн от представителя субъекта ПДн проверяются полномочия данного представителя на дачу согласия от имени субъекта ПДн.
5.6. Согласие на обработку ПДн должно быть оформлено в соответствии с требованиями действующего законодательства.
5.7. Сбор ПДн осуществляется работниками Общества в соответствии с их должностными обязанностями.
5.8. В ИСПДн Общества ПДн заносятся работниками Общества на основании документов, предъявляемых субъектом ПДн/законным представителем субъекта ПДн, или на основании заполняемых субъектом ПДн/законным представителем субъекта ПДн документов (анкеты, опросные листы).
5.9. В случаях, когда предоставление ПДн является обязательным в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», субъекту ПДн/представителю субъекта ПДн разъясняются юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку.
6. Порядок обработки ПДн
6.1. Общество имеет право:
– получать от субъекта ПДн достоверные информацию и/или документы, содержащие ПДн;
– в случае отзыва субъектом ПДн согласия на обработку ПДн Общество вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в законодательстве о ПДн;
– самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством о ПДн.
6.2. Общество обязано:
– предоставлять субъекту ПДн по его просьбе информацию, касающуюся обработки его ПДн;
– организовывать обработку ПДн в порядке, установленном действующим законодательством Российской Федерации;
– отвечать на обращения и запросы субъектов ПДн и их законных представителей в соответствии с требованиями законодательства о ПДн;
– сообщать в уполномоченный орган по защите прав субъектов ПДн по запросу этого органа необходимую информацию;
- публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике;
– принимать правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
– прекратить передачу (распространение, предоставление, доступ) ПДн, прекратить обработку и уничтожить ПДн в порядке и случаях, предусмотренных законодательством о ПДн;
– не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено действующим законодательством о ПДн;
– исполнять иные обязанности, предусмотренные законодательством о ПДн.
6.3. Субъекты ПДн имеют право:
– получать информацию, касающуюся обработки их ПДн, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту ПДн Обществом в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких ПДн. Перечень информации и порядок ее получения установлен законодательством о ПДн;
– требовать от Общества уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
– выдвигать условие предварительного согласия при обработке ПДн в целях продвижения на рынке товаров, работ и услуг;
– на отзыв согласия на обработку ПДн;
– обжаловать в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке неправомерные действия или бездействие Общества при обработке их ПДн;
– на осуществление иных прав, предусмотренных законодательством Российской Федерации.
6.4. Субъекты ПДн обязаны:
– предоставлять Обществу достоверные данные о себе;
– сообщать Обществу об уточнении (обновлении, изменении) своих ПДн.
6.5. Лица, передавшие Обществу недостоверные сведения о себе, либо сведения о другом субъекте ПДн без согласия последнего, несут ответственность в соответствии с законодательством Российской Федерации.
6.6. Общую организацию и контроль за внедрением и соблюдением правовых, организационных и технических мер по обеспечению безопасности ПДн в Обществе осуществляет ответственный за организацию обработки ПДн в соответствии с возложенными должностными обязанностями.
Непосредственный сбор, обработка и хранение ПД осуществляется под контролем руководителей обособленных подразделений Общества.
Обезличивание, блокирование, удаление, уничтожение ПДн осуществляется работниками соответствующего обособленного подразделения под контролем Руководителя обособленного подразделения Общества. В случае возникновения вопросов, выявления проблем или нарушений в процессе обработки ПДн работникам необходимо обращаться за консультацией к работникам Юридической группы и ответственному за обработку ПДн.
6.6.2. Работники Юридической группы осуществляют разработку и актуализацию локальных нормативных актов, инструкций и иных документов, устанавливающих основные направления по внедрению и соблюдению правовых, организационных и технических мер по обеспечению безопасности ПДн, осуществляют консультацию. 6.6.3. Руководитель департамента по работе с персоналом осуществляет ознакомление кандидатов на замещение вакантных должностей работников Общества и работников Общества с Политикой, а при необходимости организует проведение такого ознакомления.
6.7. Все работники, которым в связи со служебными (должностными) обязанностями необходим доступ к ПДн, заполняют и подписывают «Соглашение о неразглашении ПДн», форма которого утверждается приказом генерального директора Общества.
6.8. Доступ работников к ПДн осуществляется на основании «Перечня должностей работников, замещение которых предусматривает осуществление обработки персональных данных в ООО «Санрайз Групп», утверждаемого приказом генерального директора Общества. Доступ к ПДн работников, замещающих должности, не указанные в перечне, запрещен.
6.9. Доступ работников в помещения, в которых ведётся обработка ПДн, осуществляется в соответствии с «Правилами доступа работников в помещения, в которых ведется обработка персональных данных в ООО «Санрайз Групп», утверждёнными приказом генерального директора Общества.
6.10. Работники осуществляют обработку ПДн в ИСПДн в соответствии с Положением об информационной безопасности группы компаний Sojitz и иными локальными нормативными актами, утверждаемыми Обществом.
6.11. В целях обеспечения единого порядка рассмотрения запросов субъектов ПДн или их представителей, руководитель обособленного подразделения, работники Юридической группы и ответственный за организацию обработки ПДн руководствуются «Правилами рассмотрения запросов субъектов персональных данных, чьи персональные данные обрабатываются в ООО «Санрайз Групп», утверждаемыми приказом генерального директора Общества. Работники Юридической группы осуществляют ведение « Журнала регистрации обращений субъектов персональных данных, чьи персональные данные обрабатываются в ООО «Санрайз Групп», форма которого утверждается приказом генерального директора Общества.
6.12. Работа со съемными машинными носителями ПДн в ИСПДн осуществляется в соответствии с Положением об информационной безопасности группы компаний Sojitz и иными локальными нормативными актами, утверждаемыми Обществом.
6.13. Хранение ПДн осуществляется не дольше, чем это необходимо для их обработки в целях, для которых они были собраны. По достижении целей обработки, ПДн передаются на архивное хранение в порядке, установленном законодательством Российской Федерации, либо уничтожаются, если их архивное хранение не требуется.
6.14. Общество до начала осуществления трансграничной передачи ПДн обязано получить согласие в письменной форме субъекта ПДн и убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу ПДн, обеспечивается надежная защита прав субъектов ПДн.
6.15. Трансграничная передача ПДн на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме субъекта ПДн на трансграничную передачу его ПДн и/или исполнения договора, стороной которого является субъект ПДн.
6.16. Трансграничная передача ПДн должна осуществляться Обществом в порядке, установленном действующим законодательством Российской Федерации. До начала осуществления деятельности по трансграничной передаче ПДн Общество обязано уведомить уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять трансграничную передачу ПДн.
6.17. Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение ПДн.
7. Поручение обработки ПДн
7.1. Обработка ПДн может поручаться другому лицу только с согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
7.2. Обработка ПДн может поручаться другому лицу только на основании заключаемого с этим лицом договора, государственного или муниципального контракта, принятого государственным или муниципальным органом акта (далее – «Поручение оператора»).
7.3. В Поручении оператора должны быть определены:
-
перечень ПДн, что будут переданы лицу, осуществляющим обработку ПДн;
-
перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн;
-
цели обработки ПДн;
-
сроки обработки ПДн;
-
обязанность указанного лица соблюдать конфиденциальность ПДн, соблюдать требования по принятию необходимых мер, предусмотренных действующим законодательством о ПДн, обеспечивать безопасность ПДн при их обработке;
-
обязанность указанного лица по запросу Общества в течение срока действия Поручения оператора, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Общества требований, установленных в Федеральном законе № 152-ФЗ от 27 июля 2006 г. «О персональных данных».
-
требования к защите обрабатываемых ПДн в соответствии со статьей 19 Федерального закона № 152-ФЗ от 27 июля 2006 г. «О персональных данных»;
-
ответственность указанного лица перед Обществом.
7.4. Лицо, осуществляющее обработку ПДн по поручению Общества, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом № 152-ФЗ от 27 июля 2006 г. «О персональных данных». При этом данное лицо не обязано получать согласие субъекта ПДн на обработку его ПДн.
7.5. В случае, если Общество поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Общество. Лицо, осуществляющее обработку ПДн по поручению Общества, несет ответственность перед Обществом.
8. Предоставление ПДн третьим лицам
8.1. ПДн предоставляются третьим лицам, а также раскрываются только с согласия субъекта ПДн или в случаях, предусмотренных федеральным законом.
8.2. По требованию третьего лица, получающего ПДн, данному лицу передается подтверждение наличия основания для предоставления ПДн.
9. Включение ПДн в общедоступные источники
9.1. В целях информационного обеспечения деятельности Общества могут создаваться общедоступные источники ПДн (в том числе справочники, электронные базы данных, страницы сайта Общества в информационно-телекоммуникационной сети «Интернет» и др.).
9.2. В общедоступные источники ПДн могут включаться только те ПДн, которые указаны субъектом ПДн в согласии субъекта на обработку ПДн и в отношении которых субъект ПДн выдал отдельное согласие на распространение. Форма согласия субъекта ПДн на распространение Пдн утверждается приказом генерального директора Общества.
9.3. В согласии на обработку ПДн, разрешенных субъектом ПДн для распространения, субъект ПДн вправе установить запреты на передачу (кроме предоставления доступа) этих ПДн оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих ПДн неограниченным кругом лиц. Отказ Общества в установлении субъектом ПДн таких запретов и условий не допускается.
9.4. Общество обязано в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта ПДн опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц ПДн, разрешенных субъектом ПДн для распространения.
9.5. Установленные субъектом ПДн запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) ПДн, разрешенных субъектом ПДн для распространения, не распространяются на случаи обработки ПДн в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.
9.6. Передача (распространение, предоставление, доступ) ПДн, разрешенных субъектом ПДн для распространения, должна быть прекращена в любое время по требованию субъекта ПДн. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПДн, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании ПДн могут обрабатываться только оператором, которому оно направлено.
9.7. Действие согласия субъекта ПДн на обработку персональных данных, разрешенных субъектом ПДн для распространения, прекращается с момента поступления оператору требования, указанного в пункте 9.6. настоящей Политики.
9.8. Субъект ПДн вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих ПДн, ранее разрешенных субъектом ПДн для распространения, к любому лицу, обрабатывающему его ПДн, в случае несоблюдения положений законодательства о ПДн или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) ПДн в течение трех рабочих дней с момента получения требования субъекта ПДн или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.
10. Прекращение обработки ПДн и их уничтожение
10.1. В случае достижения целей обработки ПДн или утраты необходимости в достижении целей обработки ПДн указанные ПДн уничтожаются или обезличиваются, или обеспечивается их уничтожение или обезличивание (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты достижения целей обработки ПДн (утраты необходимости в достижении целей обработки ПДн).
10.2. В случае отзыва субъектом ПДн согласия на обработку его ПДн указанные ПДн уничтожаются или обеспечивается их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты поступления указанного отзыва.
10.3. В случае обращения субъекта ПДн к Обществу с требованием о прекращении обработки ПДн Общество обязано в срок, не превышающий десяти рабочих дней с даты получения Обществом соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПДн), за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Обществом в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
10.4. В случае получения Обществом требования от субъекта ПДн или его представителя о прекращении обработки ПДн, используемых в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом ПДн с помощью средств связи, а также в целях политической агитации Общество обязано немедленно прекратить по требованию субъекта ПДн обработку его ПДн.
10.5. В случае окончания срока обработки ПДн, указанного в письменном согласии субъекта ПДн, указанные ПДн уничтожаются или обезличиваются, или обеспечивается их уничтожение или обезличивание (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества).
10.6. Субъект ПДн имеет право на получение сведений, касающихся обработки его ПДн, указанных в ч. 7 ст. 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», за исключением случаев, предусмотренных действующим законодательством. В случае обращения субъекта ПД или его представителя с соответствующим запросов о получении сведений, касающихся обработки ПДн, указанных в ч. 7 ст. 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Общество обязуется предоставить субъекту ПД или его представителю такие сведения в срок, предусмотренных действующим законодательством.
10.8. В срок, не превышающий семи рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Общество обязано уничтожить такие ПДн. Общество обязано уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.
В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов персональных данных, Общество обязано с момента выявления такого инцидента Обществом, уполномоченным органом по защите прав субъектов ПРн или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов ПДн в порядке, установленном в ст. 21 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
10.10. Уничтожение ПДн производится способом, исключающим возможность их восстановления:
-
перезаписью уничтожаемых (стираемых) файлов случайной битовой последовательностью;
-
удалением записи о файлах;
-
обнулением журнала файловой системы;
-
полной перезаписью всего адресного пространства съемного машинного носителя ПДн случайной битовой последовательностью с последующим форматированием.
10.11. Уничтожение или обезличивание ПДн осуществляется в соответствии с положением «Положение о порядке уничтожения ПДн».
10.12. Допускается не уничтожать или не обезличивать ПДн в следующих случаях:
-
если иное предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
-
если иное предусмотрено соглашением между субъектом ПДн и Обществом;
-
если в соответствии с федеральными законами есть основания осуществлять дальнейшую обработку ПДн без согласия субъекта ПДн.
10.14. Более подробный порядок уничтожения ПДн определяется в регламенте, утверждаемом приказом генерального директора Общества.
11. Правила обезличивания ПДн и работы с обезличенными ПДн
11.1. Обезличивание ПДн, содержащихся на машинных носителях, производится путем замены ПДн, позволяющих определить принадлежность ПДн конкретному субъекту ПДн, на уникальный внутренний идентификатор субъекта ПДн, присвоенный ему в Обществе.
11.2. Обезличивание ПДн, содержащихся на бумажных носителях, производится путем стирания (вымарывания) ПДн, позволяющих определить принадлежность ПДн конкретному субъекту ПДн.
11.3. Работники Общества не должны нарушать целостность, доступность обезличенных данных.
11.4. Обработка обезличенных ПДн может осуществляться с использованием средств автоматизации или без использования таких средств.
11.5. При обработке обезличенных ПДн без использования средств автоматизации необходимо соблюдение правил хранения бумажных носителей и порядка доступа в помещения, где они хранятся, в целях исключения несанкционированного доступа к обезличенным ПДн, а также исключения возможности их несанкционированного уничтожения, изменения, блокирования, копирования, распространения, а также от неправомерных действий в отношении обезличенных ПДн.
11.6. При обработке обезличенных ПДн с использованием средств автоматизации необходимо дополнительно соблюдать правила по парольной защите, идентификации пользователей ИСПДн, правил работы со съемными носителями (в случае их использования), правил резервного копирования.
12. Меры обеспечения безопасности ПДн в ИСПДн
12.1. Выполнение мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн осуществляется в соответствии с Положением об информационной безопасности группы компаний Sojitz и иными локальными нормативными актами, утверждаемыми Обществом.
13. Ответственность
13.1. Все работники, допущенные в установленном порядке к работе с ПДн, несут дисциплинарную, административную, материальную, уголовную ответственность в соответствии с действующим законодательством за обеспечение сохранности и соблюдение правил работы с ПДн.
13.2. Ответственность за общую организацию и контроль за внедрением и соблюдением правовых, организационных и технических мер по обеспечению безопасности ПДн в Обществе в соответствии с возложенными должностными обязанностями несет ответственный за организацию обработки ПДн.
13.2.1. Ответственность на территории обособленного подразделения за осуществление внутреннего контроля за соблюдением правовых, организационных и технических мер по обеспечению безопасности ПДн, проведение регулярных внутренних проверок, уведомление о поступлении обращений и запросов субъектов ПДн или их представителей при получении обращений и запросов обособленным подразделением, а также выполнение отдельных поручений ответственного за организацию обработки ПДн и работников Юридической группы несет Руководитель обособленного подразделения.
13.2.2. Ответственность за ознакомление кандидатов на замещение вакантных должностей работников Общества и работников Общества с Политикой несёт Руководитель департамента по работе с персоналом.
13.2.3. Ответственность за разработку и актуализацию локальных нормативных актов, инструкций и иных документов, устанавливающих основные направления по внедрению и соблюдению правовых, организационных и технических мер по обеспечению безопасности ПДн, предоставление консультаций несут работники Юридической группы. 13.3. Предоставление ПДн посторонним лицам, в том числе работникам, не имеющим права их обрабатывать, распространение ПДн, утрата съемных машинных носителей ПДн, а также иные нарушения обязанностей по обработке ПДн, установленных настоящей Политикой и иными локальными нормативными актами, влечет наложение на совершившего нарушение работника, имеющего доступ к ПДн, дисциплинарного взыскания: замечания, выговора или увольнения.
13.4. Работник, имеющий доступ к ПДн субъектов и совершивший указанный в пункте 13.3 дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба (п. 7 ст. 243 Трудового кодекса Российской Федерации).
13.5. Работники, имеющие доступ к ПДн субъектов, виновные в незаконном сборе или передаче ПДн, а также осуществившие неправомерный доступ к охраняемой законом компьютерной информации, несут уголовную ответственность в соответствии со ст. 137 и ст. 272 Уголовного кодекса Российской Федерации.
14. Иные основные документы, регламентирующие порядок защиты ПДн в ООО «Санрайз Групп»
Помимо документов, поименованных выше в настоящей Политике, Общество использует следующие основные документы по охране ПДн.
14.1. Внутренний контроль соблюдения порядка обработки ПДн:
«Регламент проведения внутреннего контроля соответствия обработки персональных данных в ООО «Санрайз Групп» требованиям действующего законодательства Российской Федерации по обработке и защите персональных данных» определяет план и порядок проведения внутреннего контроля, перечень необходимых для проверки мероприятий, а также порядок устранения нарушений.
15. Срок действия Политики. Порядок внесения изменений
15.1. Настоящая Политика вступает в силу с момента ее утверждения и действует бессрочно.
15.2. Настоящая Политика подлежит пересмотру не реже одного раза в три года.
15.3. Изменения и дополнения в настоящую Политику вносятся путем принятия соответствующих решений Советом директоров Общества. ****