Политика обработки персональных данных

Общество с ограниченной ответственностью "Элефус"
Общие положения
Настоящая Политика обработки персональных данных (далее – Политика) в Обществе с ограниченной ответственностью «Элефус» (далее – ООО «Элефус») разработана в соответствии с требованиями нормативно-правовых актов Российской Федерации, регулирующих отношения, связанные с обработкой персональных данных (далее – ПДн). Политика определяет принципы сбора, обработки, хранения, передачи и защиты ПДн физических лиц (далее – субъекты ПДн), реализуемые в ООО «Элефус».

Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению ПДн, осуществляемых как с использованием средств автоматизации, так и без использования таких средств.
    Нормативная документация
    Настоящая Политика разработана в соответствии с требованиями следующих нормативно-правовых документов в области защиты ПДн:
    — Федеральный закон Российской Федерации от 27 июля 2006 г. №152-ФЗ «О персональных данных»;
    — Постановление Правительства Российской Федерации от 1 ноября 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
    — Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
    — Приказ ФСТЭК России от 18 февраля 2013г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

      Цели ООО "Элефус" в области защиты персональных данных
      Важнейшими целями ООО «Элефус» в области защиты персональных данных являются:
      — соответствие требованиям законодательства Российской Федерации и договорным обязательствам в части защиты персональных данных при оказании коммерческих услуг;
      — обеспечение конфиденциальности, целостности и доступности персональных данных;
      — применение адекватных мер по защите от угроз в отношении персональных данных;
      — предотвращение и (или) снижение ущерба от реализации угроз в отношении персональных данных.
        Обработка персональных данных
        4.1 Принципы обработки персональных данных
        4.1.1 Основные принципы обработки персональных данных ООО «Элефус»:
        обработка персональных данных должна осуществляться на законной и справедливой основе;
        обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
        не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
        обработке подлежат только персональные данные, которые отвечают целям их обработки;
        содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
        при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор (ООО «Элефус») должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
        хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

        4.2 Сбор персональных данных
        4.2.1 Сбор, накопление, хранение, изменение, использование и передача ПДн осуществляется при условии наличия согласия субъекта ПДн. Исключение составляют случаи, когда в соответствии с действующим законодательством допускается обработка ПДн без получения согласия субъекта ПДн, а именно:
        обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
        обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем.

        4.3 Хранение персональных данных
        4.3.1 Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют соответствующие цели обработки ПДн в соответствии с законодательством Российской Федерации. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки, или в случае утраты необходимости в достижении этих целей.
        4.3.2 ПДн субъектов могут быть получены, проходить дальнейшую обработку и передаваться как на бумажных носителях, так и в электронном виде.
        4.3.3 ПДн на бумажных носителях, должны храниться в запираемых шкафах или сейфах структурных подразделений, осуществляющих обработку персональных данных.
        4.3.4 ПДн субъектов в электронном виде, обрабатываются в компьютерных сетях ООО «Элефус».

        4.4 Передача персональных данных третьим лицам
        4.4.1 ООО «Элефус» обязуется и обязует иных лиц, получивших доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законом.

        4.5 Трансграничная передача персональных данных
        4.5.1 Трансграничная передача ПДн не осуществляется.

        4.6 Уничтожение персональных данных
        4.6.1 В случае достижения цели обработки ПДн ООО «Элефус» обязано прекратить обработку ПДн, если иное не предусмотрено договором между ООО «Элефус» и субъектом персональных данных.
        4.6.2 В случае отзыва субъектом ПДн согласия на обработку своих ПДн ООО «Элефус» обязано прекратить их обработку, если иное не предусмотрено договором между ООО «Элефус» и субъектом ПДн, либо если ООО «Элефус» вправе осуществлять обработку ПДн без согласия субъекта ПД на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.
        4.6.3 В случае выявления неправомерной обработки ПДн ООО «Элефус» должно предпринять меры по уничтожению этих ПДн в срок, не превышающий семи рабочих дней со дня выявления неправомерной обработки ПДн.
        4.6.4 В случае отсутствия возможности уничтожения ПДн в течение указанного срока, ООО «Элефус» необходимо осуществить блокирование таких ПДн и обеспечить уничтожение ПДн в срок, не превышающий 6 месяцев со дня выявления неправомерной обработки ПДн, если иной срок не установлен федеральным законодательством.
        4.6.5 В случае если уничтожение ПДн было произведено по результатам обработки обращения субъекта ПДн и (или) запроса уполномоченного органа по защите прав субъектов ПДн, о предпринятых действиях ООО «Элефус» обязано уведомить субъекта ПД и (или) уполномоченный орган по защите прав субъектов ПДн.
        4.6.6 ПДн на бумажных носителях необходимо уничтожать с помощью средств, гарантирующих невозможность восстановления носителя или посредством вычеркивания (вымарывания и т.п.) ПДн.
        4.6.7 Уничтожение информации с машиночитаемых носителей ПДн, пришедших в негодность или утративших практическую ценность, должно производиться способом, исключающим возможность использования и восстановления информации.
        4.6.8 Уничтожение ПДн должно производиться в соответствии с актуальными внутренними процессами ООО «Элефус».

        4.7 Защита персональных данных
        4.7.1 При обработке ПДн ООО «Элефус» необходимо принимать правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
        4.7.2 Обеспечение безопасности ПДн должно достигаться, в частности:
        определением угроз безопасности ПДн при их обработке в информационных системах персональных данных (далее – ИСПДн);
        применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
        оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
        обнаружением фактов несанкционированного доступа к ПДн и принятием необходимых мер;
        установлением правил доступа к ПДн, обрабатываемых в ИСПДн, а также обеспечением регистрации доступа к ПДн в ИСПДн;
        контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.
          Доступ в персональным данным
          5.1 Общие положения
          5.1.1 ООО «Элефус» необходимо обеспечивать конфиденциальность ПДн, то есть не допускать их распространения без согласия субъекта ПДн или наличия иного законного основания.

          5.2 Организация внутреннего доступа работников к персональным данным
          5.2.1 В рамках данной Политики под внутренним доступом понимается доступ к ПДн, предоставляемый работникам ООО «Элефус».
          5.2.2 Доступ к ПДн необходимо предоставлять только тем работникам ООО «Элефус», которым ПДн необходимы для исполнения их непосредственных должностных обязанностей.
          5.2.3 Допуск работников ООО «Элефус» к обработке ПДн требуется осуществлять на основании утвержденного перечня работников структурных подразделений, допущенных к работе с ПДн, обрабатываемыми в ООО «Элефус». Работник ООО «Элефус» должен допускаться к обработке ПДн только в рамках тех задач, которые он обязан осуществлять для поддержания бизнес-процессов ООО «Элефус».
          5.2.4 Работник ООО «Элефус» должен допускаться к обработке ПДн только после ознакомления с внутренними нормативными документами ООО «Элефус», регламентирующими обработку ПДн, под роспись в специальных Листах ознакомления, а также после подписания обязательств о неразглашении персональных данных.

          5.3 Организация доступа субъектов персональных данных к своим персональным данным
          5.3.1 ООО «Элефус» обязано обеспечивать доступ субъектов ПДн к принадлежащим им ПДн. Для получения такого доступа субъекту ПДн необходимо направить в ООО «Элефус» запрос (письменный запрос или запрос в форме электронного документа, подписанный электронной подписью). ООО «Элефус» осуществляет предоставление ПДн обратившегося субъекта в доступной для субъекта форме, и с обеспечением отсутствия в них ПДн, относящихся к другим субъектам.
          5.3.2 В соответствии с законом №152-ФЗ «О персональных данных» субъект ПД имеет право:
          5.3.2.1 Получить сведения касающиеся обработки ПДн ООО «Элефус», а именно:
          — подтверждение факта обработки персональных данных субъекта ПДн;
          — правовые основания и цели обработки персональных данных субъекта ПДн;
          — цели и применяемые способы обработки персональных данных субъекта ПДн;
          — наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным субъекта ПДн или которым могут быть раскрыты персональные данные субъекта ПДн на основании договора с оператором или на основании федерального закона;
          обрабатываемые персональные данные, относящиеся к субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
          — сроки обработки персональных данных субъекта ПДн, в том числе сроки их хранения;
          — порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
          — информацию об осуществленной или о предполагаемой трансграничной передаче данных субъекта ПДн;
          наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных субъекта ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу.
          5.3.2.2 Потребовать от ООО «Элефус» уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
          5.3.2.3 Заявить возражение против принятия в отношении себя решений, порождающих юридические последствия на основе исключительно автоматизированной обработки ПДн;
          5.3.2.4 Потребовать исключения своих ПДн из общедоступных источников персональных данных (при их наличии);
          5.3.2.5 Отозвать согласие на обработку ПДн в предусмотренных законом «О персональных данных» случаях.

          5.3.3 Право субъекта ПДн на доступ к своим данным ограничивается в случае, если:
          5.3.3.1 Обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
          5.3.3.2 Обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
          5.3.3.3 Обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
          5.3.3.4 Доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
          5.3.3.5 Обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
            Порядок работы с обезличенными данными
            6.1 В соответствии со статьей № 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» под обезличиванием персональных данных понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
            6.2 Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных.
            6.3 Обезличивание персональных данных возможно любыми не запрещенными способами.
            6.4 Решение о необходимости и способе обезличивания персональных данных принимает Ответственный за обработку персональных данных в ООО «Элефус».
            6.5 Хранение персональных данных и обезличенных данных в информационных системах, обладателем и/или оператором которых является ООО «Элефус», осуществляется раздельно.
              Ответственность
              7.1 ООО «Элефус» несет ответственность за защиту ПДн субъектов ПДн, обязуется не разглашать персональные данные и не использовать их, кроме как в целях исполнения обязательств при оказании медицинских услуг и других целей, не противоречащих законодательству Российской Федерации.
              7.2 За предоставление неполных, неточных или неактуальных сведений субъектом ПДн ООО «Элефус» ответственности не несет.
              7.3 При нарушении ООО «Элефус» норм, регулирующих получение, обработку и защиту ПДн, работники ООО «Элефус» несут дисциплинарную, административную, гражданско-правовую, уголовную и иную ответственность в соответствии с законодательством Российской Федерации.