Политика конфиденциальности в отношении обработки персональных данных
ООО «Строй-Техно-Плюс» (далее – «Общество») определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых персональных данных, функции Общества при обработке персональных данных, права субъектов персональных данных, а также реализуемые Обществом требования к защите персональных данных.
1. Основные понятия и термины.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
2. Права и обязанности оператора и субъекта персональных данных.
2.1. Субъекты персональных данных имеют право на: полную информацию об их персональных данных, обрабатываемых Обществом; доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом; уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; отзыв согласия на обработку персональных данных; принятие предусмотренных законом мер по защите своих прав; обжалование действия или бездействия Общества, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд; осуществление иных прав, предусмотренных законодательством Российской Федерации.
2.2. Субъект персональных данных обязан предоставить полные, точные и достоверные сведения о своих персональных данных.
2.3. . Общество имеет право:
-обрабатывать персональные данные субъекта персональных данных в соответствии с заявленной целью;
— требовать от субъекта персональных данных предоставления достоверных персональных данных, необходимых для заключения, исполнения договора, оказания услуги, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных законодательством о персональных данных;
— ограничить доступ субъекта персональных данных к его персональным данным в случае, если обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц, а также в иных случаях, предусмотренных законодательством Российской Федерации; — обрабатывать общедоступные персональные данные физических лиц;
— осуществлять обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации;
— уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
— поручить обработку персональных данных другому лицу с согласия субъекта персональных данных.
2.4. В соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» Общество обязано:
— предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ;
— по требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
— вести учет обращений субъектов персональных данных;
— уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных за исключением предусмотренных законом Российской Федерации случаев;
— в случае достижения цели обработки персональных данных прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных;
— в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных
— обязуется и обязывает иные лица, получившие доступ к персональным данным, не раскрывать их третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3. Принципы и цели сбора персональных данных.
3.1. Общество осуществляет обработку персональных данных в целях:
— заключения с субъектом персональных данных любых договоров и соглашений, и их дальнейшего исполнения;
— предоставления информации об Обществе, его услугах, акциях и мероприятиях;
— коммуникации с субъектом персональных данных;
— направления субъекту персональных данных новостных материалов;
— обеспечения функционирования, безопасности и улучшения качества сайтов Общества;
— а также других целей, достижение которых не запрещено федеральным законодательством, международными договорами Российской Федерации.
3.2. Обработка персональных данных на основе следующих принципов: обработка персональных данных Обществом осуществляется на законной и справедливой основе; обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей; не допускается обработка персональных данных, несовместимая с целями сбора персональных данных; не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой; обработке подлежат только персональные данные, которые отвечают целям их обработки; содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
3.3 при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Обществом принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных; хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4. Правовые основания обработки персональных данных.
Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации о персональных данных:
— Конституция Российской Федерации;
— Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
-Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
5. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных.
5.1. Общество осуществляет обработку персональных данных следующих категорий субъектов персональных данных:
— физические лица, выразившие намерение заключить с Обществом любые договоры и соглашения; физические лица, заключившие с Обществом любые договоры и соглашения; физические лица, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их прав и соответствует требованиям, установленным законодательством о персональных данных; иные физические лица, выразившие согласие на обработку Обществом их персональных данных или обработка персональных данных которых необходима Обществу для выполнения обязанностей, исполнения функций или полномочий, возложенных и/или предусмотренных международным договором Российской Федерации или законом Российской Федерации.
5.2. Общество осуществляет обработку следующих категорий персональных данных: фамилия, имя, отчество (при предоставлении информации), абонентский номер телефона, e-mail (при предоставлении данной информации). Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Обществом не осуществляется.
6. Порядок, условия обработки персональных данных. Перечень действий с персональными данными и способы их обработки.
6.1. Обработка персональных данных Обществом осуществляется с соблюдением принципов и правил, установленных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
6.2. Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных. Обработку персональных данных Общество осуществляет следующими способами: неавтоматизированная обработка персональных данных; автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой; смешанная обработка персональных данных.
6.3. Общество может включать персональные данные субъектов в общедоступные источники персональных данных, при этом Обществом берет письменное согласие субъекта на обработку его персональных данных.
6.4. Биометрические персональные данные Обществом не обрабатываются.
6.5. Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, не осуществляется. 6.6. При отсутствии необходимости письменного согласия субъекта на обработку его персональных данных согласие субъекта может быть дано субъектом персональных данных или его представителем в любой позволяющей получить факт его получения форме.
6.7. Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее — поручение оператора). При этом Обществом в договоре обязывает лицо, осуществляющее обработку персональных данных по поручению Общества, соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
6.8. Предоставление доступа органам государственной власти (в том числе, контролирующих, надзорных, правоохранительных и иных органов) к персональным данным, обрабатываемым Обществом осуществляется в объёме и порядке, установленным соответствующим законодательством Российской Федерации.
6.9. Работниками Общества, получившими доступ к персональным данным, должна быть обеспечена конфиденциальность таких данных. Обеспечение конфиденциальности не требуется в отношении:
— персональных данных после их обезличивания;
— общедоступных персональных данных.
Порядок обеспечения конфиденциальности персональных данных субъектов персональных данных определяется в Политике конфиденциальности, которая является неотъемлемой частью этой Политики.
6.10. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных
7. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.
7.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации оператором, а обработка должна быть прекращена. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
− иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
− Общество не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
− иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.
Общество обязано сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего
7.2. Обращение субъекта персональных данных к Обществу в целях реализации его прав, установленных ФЗ «О персональных данных», осуществляется в письменном виде (здесь и далее по тексту под субъектами персональных данных понимается как сам субъект персональных данных, так и его законный представитель: родитель, опекун, попечитель и иные лица, полномочия которых установлены 152-ФЗ либо иным законом Российской Федерации).
7.3. Ответ на обращение отправляется субъекту персональных данных в письменном виде по почте на адрес, указанный в обращении.
7.4. Срок формирования ответа и передачи в почтовое отделение для отправки не может превышать тридцати дней с даты получения Обществом обращения.
7.5. Срок внесения необходимых изменений в персональные данные, являющиеся неполными, неточными или неактуальными, не может превышать семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные являются неполными, неточными или неактуальными.
7.6. Срок уничтожения персональными данными, являющихся незаконно полученными или не являющихся необходимыми для заявленной цели обработки, не может превышать семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки.