Обработка персональных данных

Политика обработки персональных данных

Термины и определения

Автоматизированная обработка персональных данных – обработка персопрональных данных с помощью средств вычислительной техники.

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Субъект персональных данных – физическое лицо, индивидуальный предприниматель или представитель юридического лица, заключившее с Оператором гражданский договор на выполнение работ, оказание услуг в соответствии с осуществляемыми Оператором видами деятельности, а также работники Оператора, работники контрагентов Оператора и иные физические лица.

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Назначение документа

Настоящая Политика GRAVITY в отношении обработки персональных данных (далее – Политика) разработана в соответствии со п. 2 статьи 18.1 Федерального закона от 27 июля 2006 года № 152 «О персональных данных» и определяет политику GRAVITY  (далее – Оператор) в отношении обработки информации о субъектах персональных данных, которую Оператор может обрабатывать при осуществлении установленных в Уставе видов деятельности.

1.2. Нормативные ссылки

1. Федеральный закон от 27 июля 2006 года № 149 «Об информации, информационных технологиях и о защите информации».

2. Федеральный закон от 27 июля 2006 года № 152 «О персональных данных».

3. Федеральный закон от 21.07.2014 N 242-ФЗ «О внесении изменений в отдельные законодательные акты российской федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».

1.3. Область действия

Действие настоящей Политики распространяется на все процессы Оператора, в рамках которых осуществляется обработка персональных данных, как с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и без использования таких средств.

Использование услуг Оператора означает согласие субъекта персональных данных с настоящей Политикой и указанными в ней условиями обработки его персональных данных.

1.4. Утверждение и пересмотр

Настоящая Политика вступает в силу с момента ее утверждения Генеральным директором и действует бессрочно до замены ее новой Политикой. Обеспечение неограниченного доступа к Политике реализуется путем ее публикации на сайте Оператора в сети Интернет, либо иным способом.

2. ПЕРСОНАЛЬНЫЕ ДАННЫЕ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫЕ ОПЕРАТОРОМ

2.1. Общий порядок обработки

При организации обработки персональных данных Оператором выполняются следующие принципы и условия:

  • обработка персональных данных осуществляется на законной и справедливой основе;
  • обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
  • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только персональные данные, которые отвечают целям их обработки;
  • при обработке персональных данных обеспечивается точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных;
  • содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки.
  • персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

Оператор в своей деятельности исходит из того, что субъект персональных данных предоставляет точную и достоверную информацию, во время взаимодействия с Оператором извещает представителей Оператора об изменении своих персональных данных.

3. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ОПЕРАТОРА

Оператор производит обработку только тех персональных данных, которые необходимы для выполнения договорных обязательств (исполнения соглашений и договоров с субъектом Оператора, исполнения обязательств перед контрагентом и работниками), ведения общехозяйственной деятельности Оператора, а также в целях исполнения требований законодательства РФ.

Оператором производится обработка персональных данных следующих категорий субъектов персональных данных:

  • физические лица, работники Оператора;
  • физические лица, работники Лицензиата Оператора;
  • физические лица, Лицензиаты Оператора;
  • физические лица, работники контрагентов Оператора;
  • физические лица, контрагенты Оператора
  • физические лица, клиентов Лицензиата Оператора;
  • иные физические лица.

Целями обработки персональных данных Оператором являются:

  • осуществление документооборота Оператора;
  • заключение договоров с контрагентами;
  • поиск кандидатов на должность;
  • взаимодействие между работниками Оператора;
  • выполнение обязательств по трудовому договору;
  • взаимодействие с агентами /контрагентами Оператора;
  • управление взаимоотношениями с Лицензиатами;
  • выполнение условий Договоров-оферты и двухсторонних договоров с Лицензиатами и контрагентами Оператора;
  • выполнение условий агентских договоров;
  • бухгалтерский учет;
  • кадровое делопроизводство;
  • начисление заработной платы и иных выплат;
  • ведение бухгалтерского и налогового учета;
  • подготовка отчетности;
  • публикация информации об Операторе;
  • использование программного обеспечения Оператора.

УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ПЕРЕДАЧИ ИХ ТРЕТЬИМ ЛИЦАМ

Оператор обрабатывает и хранит персональные данные субъектов в соответствии с внутренними нормативными документами, разработанными согласно законодательству РФ.

В отношении персональных данных субъекта обеспечивается их конфиденциальность, целостность и доступность. Передача персональных данных третьим лицам для выполнения договорных обязательств осуществляется только с согласия субъекта персональных данных. В случае реорганизации, продажи или иной передачи бизнеса (полностью или части) Оператора к приобретателю переходят все обязательства по соблюдению условий настоящей Политики применительно к получаемым им персональным данным.

Оператор может поручить обработку персональных данных другому лицу при выполнении следующих условий:

  • получено согласие субъекта на поручение обработки персональных данных другому лицу;
  • поручение обработки персональных данных осуществляется на основании заключаемого с этим лицом договора, разработанного с учетом требований Федерального закона РФ от 27 июля 2006 года № 152 «О персональных данных».

Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных и несет ответственность перед Оператором. Оператор несет ответственность перед субъектом персональных данных за действия уполномоченного лица, которому Оператор поручил обработку персональных данных.

При обработке персональных данных субъектов Оператора руководствуется Федеральным законом РФ от 27 июля 2006 года № 152 «О персональных данных».

5. ПРАВА СУБЪЕКТА НА ДОСТУП И ИЗМЕНЕНИЕ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ

Для обеспечения соблюдения установленных законодательством прав субъектов персональных данных Оператором разработан и введен порядок работы с обращениями и запросами субъектов персональных данных, предоставления субъектам персональных данных установленной законом информации.

Данный порядок обеспечивает соблюдение следующих прав субъектов Оператора:

  • право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
    • подтверждение факта обработки персональных данных;
    • правовые основания и цели обработки персональных данных;
    • цели и применяемые Оператором способы обработки персональных данных;
    • наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании Федерального закона;
    • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
    • сроки обработки персональных данных, в том числе сроки их хранения;
    • порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
    • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
    • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
    • иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими Федеральными законами.
  • право на уточнение, блокирование или уничтожение своих персональных данных, которые являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки.

6. ОБЯЗАННОСТИ ОПЕРАТОРА

В соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» Оператор обязан:

  • осуществлять обработку персональных данных с соблюдением принципов и правил, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных»;
  • не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом № 152-ФЗ «О персональных данных»;
  • предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, в соответствии с которыми такое согласие не требуется;
  • в случаях, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных» осуществлять обработку персональных данных только с согласия в письменной форме субъекта персональных данных;
  • предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ в предоставлении указанной информации и дать в письменной форме мотивированный ответ, содержащий ссылку на положения Федерального закона № 152-ФЗ «О персональных данных», являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. При обращении либо при получении запроса субъекта персональных данных или его представителя предоставить субъекту персональных данных или его представителю информацию, касающуюся обработки его персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
  • если предоставление персональных данных является обязательным в соответствии с Федеральным законом, разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные;
  • принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Описание принимаемых мер приведено в п. 7 настоящей Политики;
  • по требованию субъекта персональных данных внести изменения в обрабатываемые персональные данные, или уничтожить их, если персональные данные являются неполными, неточными, неактуальными, незаконно полученными или не являются необходимыми для заявленной цели обработки в срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих указанные факты, а также уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы. Вести Журнал учета обращений субъектов персональных данных, в котором должны фиксироваться запросы субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по этим запросам.
  • уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных. Исключение составляют следующие случаи:
    • субъект персональных данных уведомлен об осуществлении обработки его персональных данных Оператором;
    • персональные данные получены Оператором на основании Федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
    • персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
    • Оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
    • предоставление субъекту персональных данных сведений, содержащихся в Уведомлении об обработке персональных данных, нарушает права и законные интересы третьих лиц.
  • в случае выявления неправомерной обработки персональных данных или неточных персональных данных, устранить выявленные нарушения в соответствии с порядком и сроками, установленными частями 1-3 и 6 Федерального закона № 152-ФЗ «О персональных данных»;
  • в случае достижения целей обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных№152-ФЗ «О персональных данных» или другими Федеральными законами.
  • в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом персональных данных. Об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных.
  • в случае поступления требования субъекта о прекращении обработки персональных данных в целях продвижения товаров, работ, услуг на рынке немедленно прекратить обработку персональных данных.

7. МЕРЫ, ПРИМЕНЯЕМЫЕ ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ

Оператор принимает необходимые и достаточные организационные и технические меры для защиты персональных данных субъектов от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц.

Оператором применяются следующие методы и способы обеспечения безопасности персональных данных:

  • определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  • применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации;
  • проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • ведется учет машинных носителей персональных данных;
  • организовано обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по выявленным нарушениям;
  • производится восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлены правила доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационных системах персональных действий;
  • производится контроль за принимаемыми мерами по обеспечению безопасности персональных данных и контроль уровня защищенности персональных данных, обрабатываемых в информационных системах персональных данных.