Положение о персональных данных
Политика в отношении обработки персональных данных
Будьте любезны, внимательно прочитайте настоящее Положение, прежде чем начать пользоваться разделами Сайта. При ознакомлении с настоящим Положением, а также при внесении в поля разделов Сайта своих (любых) персональных данных, Вы безоговорочно принимаете условия настоящего Положения и даете согласие на обработку представленных Вами своих персональных данных Оператором – ООО «ЛДЦ-ВОЛГОГРАД».
1. Определения
1.1 Положение — настоящее «Положение о защите персональных данных».
1.2 Закон / Федеральный закон — Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных».
1.3 Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
1.4 Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящего Положения, оператором является ООО «ЛДЦ-ВОЛГОГРАД»;
1.5 Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
1.6 Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
1.7 Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
1.8 Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
1.9 Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных);
1.10 Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
1.11 Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
1.12 Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
1.13 Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.14 Специальные категории персональных данных – особые категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, членства в профсоюзах, состояния здоровья и интимной жизни.
1.15 Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
1.16 Общедоступные источники персональных данных – общедоступные источники данных, в которые с письменного согласия субъекта персональных данных могут включаться персональные данные, сообщаемые субъектом персональных данных.
1.17 Ответственный за организацию обработки персональных данных – физическое или юридическое лицо, назначаемое ООО «ЛДЦ-ВОЛГОГРАД» ответственным за организацию обработки персональных данных.
2. Общие принципы обработки персональных данных
2.1 Ограничения обработки данных
Обработка персональных данных разрешена только с согласия Субъекта персональных данных или если такая обработка разрешена применимым законодательством по месту обработки информации без согласия субъекта.
Согласие должно быть получено в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом.
В соответствии с Федеральным законом письменная форма согласия субъекта персональных данных, должна включать в себя, в частности:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- при получении согласия от представителя субъекта персональных данных: фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено Федеральным законом;
- подпись субъекта персональных данных.
Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом файлом уникальной электронной подписи.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в любое время, путем направления соответствующего письменного уведомления.
В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии предусмотренных законом оснований.
Если персональные данные получены ООО «ЛДЦ-ВОЛГОГРАД» не от субъекта персональных данных, уполномоченное лицо до начала обработки таких персональных данных обязано предоставить субъекту персональных данных следующую информацию:
- наименование и адрес ООО «ЛДЦ-ВОЛГОГРАД» или фамилию, имя, отчество его представителя/ответственного за обработку персональных данных;
- цель обработки персональных данных и её правовое основание;
- предполагаемые пользователи персональных данных;
- установленные Федеральным законом права субъекта персональных данных;
- источник получения персональных данных.
В соответствии с Федеральным законом Оператор освобождается от обязанности предоставлять субъекту персональных данных вышеперечисленные сведения, в частности, в следующих случаях:
- субъект персональных данных уведомлен об осуществлении обработки его персональных данных ООО «ЛДЦ-ВОЛГОГРАД»;
- персональные данные получены ООО «ЛДЦ-ВОЛГОГРАД» на основании Федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
- персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
- предоставление субъекту персональных данных вышеперечисленных сведений нарушает права и законные интересы третьих лиц.
2.2 Цель сбора персональных данных
Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Субъект персональных данных, давая согласие на обработку своих персональных данных, должен быть проинформирован о целях их обработки.
Цели обработки должны быть включены в форму согласия субъекта персональных данных. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.
Обработке подлежат персональные данные, которые отвечают целям их обработки.
В случаях получения данных от третьей стороны целевое назначение данных должно учитываться получателем при дальнейшей обработке и хранении.
Целевое назначение персональных данных может быть изменено только в случае получения согласия субъекта персональных данных или допустимости такого изменения согласно местному законодательству соответствующей страны, из которой получены персональные данные.
2.3 Принцип минимальной достаточности обрабатываемых данных
Согласно требованиям Федерального законодательства РФ и настоящего Положения персональные данные могут обрабатываться только в случае существования необходимости.
Содержание и объём персональных данных в таком случае должны соответствовать заявленным целям обработки, при этом объём не должен быть избыточным по отношению к заявленным целям.
2.4 Принцип актуальности и достоверности данных
При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. В случае необходимости, обеспечено удаление или уточнение неполных или неточных данных.
2.5 Сбор и обработка биометрических и персональных данных специальных категорий
Обработка специальных категорий персональных данных запрещена за исключением, в частности, следующих случаев, помимо прочих:
- субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных с соблюдением требований применимого законодательства;
- персональные данные сделаны общедоступными субъектом персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
- обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медикосоциальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской федерации сохранять врачебную тайну.
Обработка персональных данных специальных категорий должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено Федеральным законом.
Обработка биометрических персональных данных может осуществляться только при наличии письменного согласия субъекта персональных данных.
Обработка биометрических и персональных данных специальных категорий может осуществляться только после согласования с ответственным за организацию обработки персональных данных ООО «ЛДЦ-ВОЛГОГРАД». Такая обработка влечёт принятие специальных мер защиты согласно требованиям Федерального законодательства.
2.6 Сроки обработки персональных данных
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, или если иное не установлено законодательством РФ или договором, стороной которого или выгодоприобретателем или поручителем по которому является субъект персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в такой обработке, если иное не предусмотрено законодательством РФ.
2.7 Передача, трансграничная передача персональных данных
Передача (распространение, предоставление, доступ) персональных данных возможна только в случаях, предусмотренных действующим законодательством Российской Федерации.
Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с действующим законодательством Российской Федерации.
Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
- наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
- исполнения договора, стороной которого является субъект персональных данных.
Любая передача персональных данных возможна только при условии дополнительного соблюдения пункта 2.1 настоящего Положения и если это не противоречит требованиям Федерального закона.
2.8 Принятие решений, порождающих юридические последствия для субъектов персональных данных, на основании автоматизированной обработки персональных данных
Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, запрещено, за исключением случаев:
- наличия согласия в письменной форме субъекта персональных данных на принятие решения на основании автоматизированной обработки данных;
- предусмотренных Федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, разъяснить порядок защиты субъектом своих прав и законных интересов.
Оператор обязан рассмотреть возражение в течение тридцати дней со дня его получения и уведомить субъекта о результатах рассмотрения такого возражения.
2.9 Защита персональных данных
Инициатор обработки персональных данных должен внедрить соответствующие технические и организационные меры для обеспечения надлежащего уровня защиты данных. Данное требование в наибольшей мере относится к компьютерному оборудованию (серверам и рабочим станциям), сетям и каналам коммуникаций, а также приложениям; меры должны быть внедрены в качестве элемента системы управления информационной безопасностью концерна «Байер». Обязательные меры, внедряемые для предотвращения неавторизованной обработки персональных данных, помимо прочего включают в себя средства контроля:
- физического доступа к системам обработки данных;
- логического доступа к системам обработки данных;
- логического доступа к приложениям обработки данных;
- ввода данных в системы обработки данных;
- передачи данных с помощью средств передачи.
ООО «ЛДЦ-ВОЛГОГРАД» в соответствии с действующим законодательством РФ предпринимает соответствующие меры для защиты данных от случайного или неавторизованного удаления или потери.
2.10 Соблюдение конфиденциальности при обработке данных
В процессе обработки персональных данных может участвовать только ответственное лицо — уполномоченный сотрудник, принявший на себя обязательство соблюдать требования в отношении конфиденциальности данных.
Запрещено использовать такие данные в личных целях или разглашать их неуполномоченным лицам. В контексте настоящего Положения «неуполномоченные лица» также включают в себя сотрудников, которым не требуется доступ к таким данным для выполнения служебных обязанностей. Обязательства по соблюдению конфиденциальности продолжают действовать, после прекращения как гражданско-правового, так и трудового договора.
2.11 Обработка персональных данных по договору
ООО «ЛДЦ-ВОЛГОГРАД» вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению ООО «ЛДЦ-ВОЛГОГРАД» обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом.
В поручении оператора (договоре) должны быть определены:
- перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных;
- цели обработки;
- должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с требованиями Федерального закона и ответственность за несоблюдение таких требований.
ООО «ЛДЦ-ВОЛГОГРАД» сохраняет контроль над обрабатываемыми по его поручению персональными данными и является контактным лицом для субъектов персональных данных.
3. Права субъекта персональных данных
3.1 Право на получение информации
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждения факта обработки персональных данных ООО «ЛДЦ-ВОЛГОГРАД»;
- правовые основания и цели обработки персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников ООО «ЛДЦ-ВОЛГОГРАД»), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ООО «ЛДЦ-ВОЛГОГРАД» или на основании Федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом N 152ФЗ или другими Федеральными законами.
Сведения предоставляются субъекту персональных данных или его представителю по его запросу либо обращении к Оператору или в иных случаях, установленных Федеральным законом, при этом Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных ООО «ЛДЦ-ВОЛГОГРАД»;
- подпись субъекта персональных данных или его представителя.
Субъект персональных данных вправе обратиться повторно к ООО «ЛДЦ-ВОЛГОГРАД» или направить ему повторный запрос не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Законом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
ООО «ЛДЦ-ВОЛГОГРАД» вправе мотивированно отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям Закона.
Право субъекта персональных данных на получение информации, касающейся обработки его персональных данных, ограничено случаями, предусмотренными ч.8 ст.14 Закона.
3.2 Право требовать уточнения или исправления данных
Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
3.3 Отказ в праве уведомления или исправления данных
Право субъекта персональных данных на получение информации, касающейся обработки его персональных данных, ограничено случаями, предусмотренными ч.8 ст.14 Федерального закона N 152ФЗ, в частности, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
В случае если в представлении сведений или внесении в них изменений по запросу субъекта данных отказано, субъект уведомляется о причинах отказа.
3.4 Порядок получения информации субъектами персональных данных
В целях соблюдения предусмотренных Законом прав субъектов персональных данных, ООО «ЛДЦ-ВОЛГОГРАД» организован приём:
- письменных запросов и требований, электронных запросов и требований;
- личных обращений субъектов к ответственному за организацию обработки персональных данных.
3.5 Уничтожение данных
Если субъект данных предоставляет подтверждение того, что в сложившейся ситуации цель обработки данных исчерпана, необоснованна или более не правомерна, соответствующие персональные данные уничтожаются (за исключением случаев, когда законодательством предусмотрено обратное).
Уничтожение персональных данных либо носителей персональных данных осуществляется согласно утвержденному локальному нормативному акту уполномоченным лицом.
3.6 Право на обжалование
Субъект персональных данных вправе обжаловать действия или бездействие оператора в соответствии с Федеральным законом.
4. Ответственный за организацию обработки персональных данных ООО «ЛДЦ-ВОЛГОГРАД»
Оператор назначает лицо, ответственное за организацию обработки персональных данных. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственного за организацию обработки персональных данных, номера их контактных телефонов, почтовые адреса и адреса электронной почты направляются ООО «ЛДЦ-ВОЛГОГРАД» в уполномоченный орган по защите прав субъектов персональных данных.
Подразделения и сотрудники ООО «ЛДЦ-ВОЛГОГРАД» в соответствии с Федеральным законом обязаны предоставлять лицу, ответственному за организацию обработки персональных данных, следующую информацию:
- наименование (фамилия, имя, отчество), адрес оператора;
- цель обработки персональных данных;
- категории персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- правовое основание обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
- описание мер, предусмотренных статьями 18.1 и 19 Федерального закона, в том числе, сведения о наличии шифровальных (криптографических) средств;
- дата начала обработки персональных данных;
- срок и условия прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Директивой и Правительством Российской Федерации.
- Иную информацию, необходимую для организации обработки персональных данных, если её передача не противоречит требованиям Федерального закона и Директивы.
Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
- Осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе, требований к защите персональных данных;
- Доводить до сведения работников оператора положения законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
- Организовывать приём и обработку обращений и запросов субъектов персональных данных или их представителей. При этом, приём и обработка обращений и запросов субъектов персональных данных или их представителей иными сотрудниками не допускается. В случаях подобного рода обращений, сотрудники компании должны проинформировать субъектов и их представителей о предусмотренных компанией способах осуществления обработки персональных данных (пункт 7.4 Положения).
5. Запросы, претензии и корректирующие меры
В случаях:
- выявления неправомерной обработки персональных данных оператором или лицом, действующим по поручению оператора;
- выявления неточных персональных данных;
- достижения целей обработки;
- отзыва субъектом персональных данных согласия на обработку
ООО «ЛДЦ-ВОЛГОГРАД» обязано предпринять требуемые Законом меры, включая блокирование, уточнение, удаление данных в установленные Федеральным законом сроки, если иное не предусмотрено законодательством РФ.
В соответствии с законодательством Российской Федерации о защите персональных данных Вы имеете право получить информацию об обработке Ваших персональных данных, направить запрос или требования по следующим адресам:
- Для электронных обращений: info@mrt-vlg.ru
- Для обращений к ответственному по защите персональных данных в письменной форме на адрес: 400120, г. Волгоград, ул. Елецкая дом 9