Политика обработки персональных данных
1. Настоящая Политика в области обработки и защиты персональных данных (далее — Политика) применяется Обществом с ограниченной ответственностью «Данафлекс-Нано», адрес местонахождения 420192, г. Казань, ул. Восстания, д. 142 (далее – Компания), к интернет-сайтам http://danaflex.ru/ и http://www.danaflex.info/ (далее — Сайт), через который мы собираем персональные данные и который ссылается на Политику.
2. Настоящая Политика разработана в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
3. Политика подлежит пересмотру в ходе периодического анализа со стороны руководства Компании, а также в случаях изменения законодательства Российской Федерации в области персональных данных.
4. Политика подлежит опубликованию на официальном сайте Компании и размещению на внутренних сетевых ресурсах для ознакомления.
5. Целью Политики является обеспечение защиты законных прав субъектов при обработке их персональных данных Компанией.
6. Положения Политики распространяются на все действия, связанные с обработкой персональных данных, осуществляемой Компанией:
– с использованием средств автоматизации;
– без использования средств автоматизации;
7. Обработка персональных данных осуществляется Компанией в целях обеспечения соблюдения трудового законодательства и иных нормативных правовых актов, содействия в трудоустройстве, обучении и продвижении по службе, осуществления расчетов по оплате труда, обеспечении личной безопасности сотрудников, сохранения здоровья, обеспечения мер социальной поддержки, контроля количества и качества выполняемой работы и обеспечении сохранности имущества, формирования кадрового резерва.
8. Обработка персональных данных прекращается при реорганизации или ликвидации Компании.
9. В соответствии с целями обработки персональных данных, указанными в п. 7 настоящей Политики, Компанией осуществляется обработка следующих категорий субъектов персональных данных сотрудников (в т.ч. уволенных), граждане, претендующие на получение материальной помощи, в том числе несовершеннолетние, соискатели, физические лица, с которыми заключен договор гражданско-правового характера, близкие родственники сотрудников, сотрудники других предприятий, посетители Компании.
10. Обработка персональных данных осуществляется Компанией в соответствии со следующими принципами:
– обработка персональных данных осуществляется на законной основе;
– обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
– не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
– не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
– при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
– Компания принимает необходимые меры по удалению или уточнению не полных или неточных данных;
– обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
11. Условия обработки персональных данных.
11.1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, религиозных или философских убеждений, интимной жизни, политических взглядов Компанией не производится.
11.2. Обработка биометрических категорий персональных данных осуществляется Компанией при наличии согласия субъекта персональных данных.
11.3. Обработка иных категорий персональных данных осуществляется К с соблюдением следующих условий:
– обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
– обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
11.4. Компания может осуществлять обработку персональных данных, полученных из общедоступных источников персональных данных.
11.5. Компания вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
12. Сотрудники Компании, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
13. Субъект персональных данных принимает решение о предоставлении персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
14. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
15. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
16. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
17. Права субъектов персональных данных.
17.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных;
17.2. Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
17.3. Запрашиваемая субъектом информация должна быть предоставлена субъекту персональных данных Компанией в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
17.4. Запрашиваемая информация предоставляется субъекту персональных данных или его представителю Компанией при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Компанией, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
17.5. В случае если запрашиваемая субъектом информация, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Компанию или направить повторный запрос в целях получения запрашиваемой субъектом информации, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
17.6. Субъект персональных данных вправе обратиться повторно в Кмопанию или направить повторный запрос до истечения нормированного срока запроса, в случае, если такие сведения не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с необходимой для запроса информацией должен содержать обоснование.
17.7. Компания вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям повторного запроса.
17.8. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи осуществляется при условии предварительного согласия субъекта персональных данных.
17.9. Если субъект персональных данных считает, что Компания осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права он вправе обжаловать действия или бездействие Компании в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
18. Обязанности Компании
18.1. При сборе персональных данных Компания предоставляет субъекту персональных данных по его просьбе запрашиваемую информацию, касающуюся обработки его персональных данных в соответствии с частью 7 статьи 14 Федерального закона «О персональных данных».
18.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Компания разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
18.3. При сборе персональных данных, в том числе посредством сети «Интернет», Компания обеспечивает запись, систематизацию, накопление, хранение, уточнение, извлечение персональных данных, обрабатываемых в информационных системах с использованием баз данных находящихся на территории России.
18.4. Местонахождение баз данных информационных систем персональных данных определены внутренними документами Компании.
18.5. Компания принимает меры, необходимые и достаточные для обеспечения выполнения своих обязанностей. Компания самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, если иное не предусмотрено федеральными законами. К таким мерам, в частности, относятся:
– назначение ответственного за организацию обработки персональных данных;
– издание Политики, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
– применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
– осуществление внутреннего контроля и аудита соответствия обработки персональных данных требованиям к защите персональных данных, Политике, локальным актам Компании;
– ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, Политикой, локальными актами по вопросам обработки персональных данных, и обучение указанных работников.
18.6. Компания сообщает в установленном порядке субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставляет возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
18.7. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Компания дает в письменной форме мотивированный ответ в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
18.8. Компания сообщает в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
18.9. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо по запросу уполномоченного органа по защите прав субъектов персональных данных Компания осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных Компания осуществляет блокирование персональных данных на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
18.10. В случае подтверждения факта неточности персональных данных Компания на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
18.11. В случае выявления неправомерной обработки персональных данных, осуществляемой Компанией в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных. В случае если обеспечить правомерность обработки персональных данных невозможно, Компания в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Компания уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
18.12. В случае достижения цели обработки персональных данных Компания прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Компанией и субъектом персональных данных либо если Компания не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.
18.13. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Компания прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Компанией и субъектом персональных данных либо если Компания не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.
18.14. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока, Компания блокирует такие персональные и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
18.15. Компания, за исключением случаев, предусмотренных Федеральным законом «О персональных данных», до начала обработки персональных данных уведомляет уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.
18.16. Уведомление направляется в форме электронного документа и на бумажном носителе. Уведомление содержит следующие сведения:
– наименование, адрес Компании;
– цель обработки персональных данных;
– категории персональных данных;
– категории субъектов, персональные данные которых обрабатываются;
– правовое основание обработки персональных данных;
– перечень действий с персональными данными, общее описание используемых Компания способов обработки персональных данных;
– описание мер, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
– фамилия, имя, отчество физического лица ответственного за организацию обработки персональных данных, номер контактного телефона, почтовый адрес и адрес электронной почты;
– дата начала обработки персональных данных;
– срок или условие прекращения обработки персональных данных;
– сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
– сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
– сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
18.17. В случае изменения указанных сведений, а также в случае прекращения обработки персональных данных Компания уведомляет об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
19. Обработка персональных данных, осуществляемая без использования
средств автоматизации
19.1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
19.2. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков).
19.3. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных используется отдельный материальный носитель.
19.4. Лица, осуществляющие обработку персональных данных без использования средств автоматизации проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Компании.
19.5. При ведении журналов, содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Компания, или в иных аналогичных целях, соблюдаются следующие условия:
– необходимость ведения такого журнала предусмотрена локальным актом Компании, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала, сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится Компания, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;
– копирование содержащейся в таких журналах информации не допускается;
– персональные данные каждого субъекта персональных данных могут заноситься в такой журнал не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится Компания.
19.6. Уничтожение части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). Указанные правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
19.7. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
19.8. Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации:
– обработка персональных данных осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
– обеспечивается раздельное хранение материальных носителей персональных данных, обработка которых осуществляется в различных целях.
– при хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Компанией.
20. Компания назначает приказом лицо, ответственное за организацию обработки персональных данных.
21. Компания предоставляет лицу, ответственному за организацию обработки персональных данных, необходимые сведения и полномочия.
22. Лицо, ответственное за организацию обработки персональных данных, в частности, выполняет следующие функции:
– осуществляет внутренний контроль за соблюдением Компанией и работниками Компании законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
– доводит до сведения работников Компании положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
23. Лица, виновные в нарушении требований Федерального закона «О персональных данных», несут предусмотренную законодательством Российской Федерации ответственность.