ПОЛИТИКА
«ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ»
УТВЕРЖДАЮ
Генеральный Директор
Общество с ограниченной ответственностью "Научно-исследовательский институт экологии и рационального использования природных ресурсов"
Растамханов Руслан Рифович
19.10.2023
1. Общие положения
Политика «Обработка персональных данных» (далее – Политика) является внутренним нормативным документом Общества с ограниченной ответственностью "Научно-исследовательский институт экологии и рационального использования природных ресурсов", определяющим общие положения Общества с ограниченной ответственностью "Научно-исследовательский институт экологии и рационального использования природных ресурсов" в области правомерности обработки и обеспечения безопасности обрабатываемых персональных данных.
Настоящая Политика является публичным документом и разработана в соответствии с требованиями:
- Конституции Российской Федерации;
- Трудового кодекса Российской Федерации;
- Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- Федерального закона РФ от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федерального закона РФ от 07 июля 2003 г. № 126-ФЗ «О связи»;
- иных нормативных документов в соответствии с действующими нормами законодательства в области персональных данных.
Настоящая Политика распространяется на Общество с ограниченной ответственностью "Научно-исследовательский институт экологии и рационального использования природных ресурсов", включая аффилированные, дочерние и зависимые лица Компании.
Настоящая Политика является обязательной для исполнения всеми работниками Компании.
На основании настоящей Политики дочерние и зависимые общества Компании могут разрабатывать и утверждать аналогичный документ в порядке, установленном их учредительными и внутренними документами.
2. Термины и определения
В настоящей Политике используются следующие термины и определения:
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Защита персональных данных – комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации субъекту персональных данных;
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Информация – сведения (сообщения, данные) независимо от формы их представления;
Компания – Общество с ограниченной ответственностью "Научно-исследовательский институт экологии и рационального использования природных ресурсов";
Конфиденциальность персональных данных – обязательное для выполнения Оператором или иным лицом, получившим доступ к персональным данным, требование не допускать раскрытия ПДн третьим лицам, и их распространение без согласия субъекта ПДн или наличия иного законного основания;
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Оператор – Общество с ограниченной ответственностью "Научно-исследовательский институт экологии и рационального использования природных ресурсов", самостоятельно или совместно с другими лицами организующая и (или) осуществляющая обработку персональных данных, а также определяющая цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (Субъекту персональных данных);
Пользователь – лицо, получающее услуги связи Оператора;
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Работники (работники Компании) – штатные работники Компании с полной или частичной занятостью, независимо от их должности в Компании;
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Субъекты персональных данных – определенное или определяемое физическое лицо;
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
3. Принципы обработки персональных данных
3.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
3.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.
3.3. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.4. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.5. Допускается обработка исключительно тех персональных данных, которые отвечают целям их обработки.
3.6. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.
3.7. Не допускается обработка персональных данных, избыточных по отношению к заявленным целям обработки.
3.8. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Неполные или неточные данные должны быть удалены или уточнены.
3.9. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
3.10. По достижении целей обработки или в случае утраты необходимости в достижении этих целей, по законному требованию субъекта персональных данных или уполномоченных органов судебной и исполнительной власти персональные данные должны быть уничтожены или обезличены, если иное не предусмотрено федеральным законом.
4. Категории субъектов персональных данных
Субъекты персональных данных подразделяется на следующие категории лиц:
4.1. Работники, имеющие договорные отношения с Компанией.
4.2. Родственники работников, имеющих договорные отношения с Компанией.
4.3. Уволенные работники, ранее имевшие договорные отношения с Компанией.
4.4. Соискатели (кандидаты) на вакантные должности, в том числе проходящие обучение по ученическому договору.
4.5. Работники контрагентов по гражданско-правовым договорам, заключенным с Компанией.
4.6. Пользователи Интернет-сайта.
4.7. Пользователи мобильных приложений и сервисов.
4.8. Посетители объектов Компании.
5. Цели обработки персональных данных
Персональные данные в Компании обрабатываются для следующих целей:
5.1. Взаимодействие с работниками в рамках трудового договора (работники Компании; родственники работников Компании).
5.2. Взаимодействие в рамках договоров с российскими и иностранными контрагентами (работники контрагентов).
5.3. Продвижение товаров работ услуг Компании и третьих лиц-партнеров Компании (физические лица, имеющие намерение воспользоваться услугами (приобрести товары).
5.4. Доступ на объекты Компании и обеспечение безопасности (посетители объектов Компании; соискатели; работники Компании; работники контрагентов; физические лица, имеющие намерение воспользоваться услугами (приобрести товары) Компании или третьих лиц).
5.5. Выполнения требований законодательных актов, нормативных документов (пользователи; соискатели; работники Компании; родственники работников Компании).
5.6. Статистические или иные исследовательские цели (обезличенные данные, полученные Компанией на законных основаниях).
6. Способы обработки персональных данных
6.1. Обработка персональных данных в Компании может осуществляться как с использованием, так и без использования средств автоматизации.
6.2. Автоматизированная обработка персональных данных должна осуществляться в ИСПДн Компании в строгом соответствии с настоящей Политикой.
Доступ к ИСПДн предоставляется уполномоченным работникам только для исполнения ими своих должностных обязанностей.
6.3. Неавтоматизированная обработка персональных данных должна осуществляться таким образом, чтобы персональные данные обособлялись от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах и иными способами.
6.4. Решения, порождающие юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы, могут быть приняты Компанией на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме.
6.5. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, производится Компанией только при наличии предварительного согласия субъекта персональных данных.
7. Порядок получения согласия у субъектов персональных данных
7.1. Обрабатываемые Компанией персональные данные могут быть получены, как непосредственно от субъекта персональных данных, так и от иных третьих лиц, в рамках заключенных Компанией договоров.
7.2. При получении персональных данных непосредственно от субъекта персональных данных, согласие может быть получено в любой форме, позволяющей подтвердить факт его получения. В случаях, прямо предусмотренных федеральным законом, обработка персональных данных допускается только при наличии письменного согласия субъекта персональных данных.
7.3. В случае недееспособности субъекта персональных данных письменное согласие на обработку его персональных данных получается от его законного представителя.
7.4. При получении персональных данных не от субъекта персональных данных, Компания, до начала обработки таких персональных данных, обязуется предоставить субъекту персональных данных следующую информацию:
- наименование либо фамилия, имя, отчество и адрес Оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- установленные Федеральным законом № 152-ФЗ «О персональных данных» права субъекта персональных данных;
- источник получения персональных данных.
7.5. Компания освобождена от обязанности предоставить субъекту персональных данных сведения о получении персональных данных от третьих лиц, в следующих случаях:
- субъект персональных данных уведомлен соответствующим Оператором об осуществлении обработки его персональных данных Компанией;
- персональные данные получены Компанией на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона № 152-ФЗ «О персональных данных»;
- Компания осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
- предоставление субъекту персональных данных указанных сведений нарушает права и законные интересы третьих лиц.
8. Права и обязанности субъектов персональных данных
8.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных в Компании;
- правовые основания и цели обработки персональных данных;
- применяемые в Компании способы обработки персональных данных;
- наименование и место нахождения Компании, сведения о лицах (за исключением работников), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора Компанией или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных» или другими федеральными законами.
8.2. Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.3. Если субъект персональных данных считает, что Компания осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Компании в органе по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор) или в судебном порядке.
8.4. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
8.5. Сведения предоставляются субъекту персональных данных или его представителю при поступлении обращений (заявление, жалоба, запрос).
Обращение от субъекта персональных данных должно содержать:
- сведения, позволяющие установить субъекта персональных данных (ФИО, реквизиты документа и иные сведения), а в случае участия представителя субъекта, данные о представителе и основании его участия;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Компанией (номер и дата договора), либо сведения, иным образом подтверждающие факт обработки персональных данных Компанией;
- подпись субъекта персональных данных или его представителя.
8.6. Обращение от субъекта персональных данных или его представителя может быть направлено путем почтового отправления в адрес Оператора, при личном обращении в офисы Оператора, а также в форме электронного документа при соблюдении требований законодательства.
8.7. Субъекту персональных данных или его представителю безвозмездно представляется возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, при необходимости внесение в них необходимых уточнений.
8.8. Субъект персональных данных, в целях уточнения и актуализации своих персональных данных, обязан своевременно представлять Компании информацию об изменении своих персональных данных.
9. Конфиденциальность персональных данных
9.1. Информация, относящаяся к персональным данным, ставшая известной Компании, является конфиденциальной информацией и охраняется законом.
9.2. Работники Компании и иные лица, получившие доступ к обрабатываемым персональным данным, подписали обязательство о неразглашении конфиденциальной информации, а также предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства Российской Федерации в области обработки персональных данных.
10. Меры по обеспечению безопасности обрабатываемых персональных данных
10.1. Для обеспечения безопасности обрабатываемых персональных данных Компания принимает необходимые правовые, организационные, технические меры защиты.
10.2. В Компании создана система защиты персональных данных, которая базируется на принципах:
- централизованность – система защиты данных должна централизованно управляться;
- своевременность – меры обеспечения безопасности персональных данных, применяемые в рамках системы защиты, должны быть своевременными;
- целенаправленность – меры обеспечения безопасности персональных данных, применяемые в рамках системы защиты, должны иметь четкие цели, на достижение которых они направлены;
- комплексность – система защиты должна включать комплекс мер, направленных на обеспечение безопасности персональных данных, дополняющих и поддерживающих друг друга;
- превентивность – меры обеспечения безопасности персональных данных, применяемые в рамках системы защиты, должны носить предупреждающий характер;
- надежность – система защиты персональных данных должна обеспечивать достаточные гарантии Компании в том, что обрабатываемые персональных данных защищены надлежащим образом.
10.3. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Компании организовано проведение периодических проверок условий обработки персональных данных.
11. Местонахождение баз данных информации, содержащих персональные данные граждан Российской Федерации
11.1. Базы данных информации, содержащие персональные данные граждан Российской Федерации, размещаются на территории Российской Федерации.
12. Передача и получение персональных данных
12.1. Обработка персональных данных в Компании может осуществляться:
- работниками Компании;
- другими лицами, осуществляющими обработку персональных данных по поручению Компании.
12.2. Обработка персональных данных другими лицами может осуществляться на основании соответствующего договора с Компанией, в котором содержится поручение на обработку персональных данных с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом № 152-ФЗ «О персональных данных». В поручении должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона № 152-ФЗ «О персональных данных».
12.3. Передача персональных данных третьей стороне должна осуществляться на основании договора, условием которого является обеспечение третьей стороной конфиденциальности и безопасности персональных данных при их обработке, в соответствии с действующим законодательством РФ при наличии согласия субъекта персональных данных на передачу его персональных данных третьей стороне, за исключением случаев, предусмотренных законодательством.
12.4. Компания в процессе своей деятельности вправе осуществлять трансграничную передачу персональных данных внутри Компании, при оформлении командировок на территории иностранных государств, исполнении договорных обязательств с иностранными партнерами и иных случаях. Трансграничная передача персональных данных на территории иностранных государств, может осуществляться со стороны Компании в случаях, предусмотренных статьей 12 Федерального закона № 152-ФЗ «О персональных данных».
13. Обработка биометрических данных и специальных категорий персональных данных
13.1. Компания в рамках своей деятельности вправе осуществлять обработку биометрических персональных данных для установления личности субъекта персональных данных, только при наличии его письменного согласия, за исключением случаев когда обработка осуществляется: в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате. Форма и порядок получения письменного согласия должен соответствовать требованиям части 4 статьи 9 Федерального закона № 152-ФЗ «О персональных данных».
13.2. Компания может обрабатывать специальные категории персональных данных субъектов (сведения о состоянии здоровья, относящихся к вопросу о возможности выполнения трудовых функций работниками/предоставления материальной помощи) на основании п. 1 и п. 2.3 ч. 2 ст. 10 ФЗ «О персональных данных».
14. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения
14.1. Компания в рамках своей деятельности может осуществлять распространение персональных данных субъектов персональных данных, только при наличии соответствующего согласия субъекта персональных данных и в строгом соответствии с требованиями статьи 10.1 Федерального закона № 152-ФЗ «О персональных данных».
14.2. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, должно оформляться отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
Компания обязуется обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
14.3. Форма и содержание согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения должны соответствовать требованиям, которые установлены уполномоченным органом по защите прав субъектов персональных данных в отношении такого согласия. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
14.4. Компания обязуется в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.
14.5. Компания обязуется прекратить передачу (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, в случае поступления от субъекта персональных данных соответствующего требования. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению.
15. Заключительные положения
Настоящая Политика, а также все изменения к ней утверждаются Генеральным директором Компании.
Действующая редакция Политики хранится по адресу места нахождения исполнительного органа Компании.