| Цель издания документа | Соблюдение законодательства Российской Федерации, регулирующего отношения, связанные с обработкой и обеспечением безопасности персональных данных |
|---|---|
| Область применения | Действие положения распространяется на работников ООО «Глобал Трейд», участвующих в обработке персональных данных. |
| Ответственный за внесение изменений | Генеральный директор |
| Ответственный за ознакомление | Офис-менеджер |
| Термин/определение | Расшифровка |
|---|---|
| Биометрические персональные данные | сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных. |
| Блокирование персональных данных | временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) |
| Доступ к информации | ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации |
| Информационная система персональных данных (ИСПДн) | совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств |
| Несанкционированный доступ (НСД) | доступ к информации, хранящейся на различных типах носителей (бумажных, магнитных, оптических и т. д.) в компьютерных базах данных, файловых хранилищах, архивах, секретных частях и т. д. различных организаций путём изменения (повышения, фальсификации) своих прав доступа |
| Носитель информации | любой материальный объект или среда, используемый для хранения или передачи информации |
| Персональные данные (ПДн) | любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) |
| Оператор | государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными |
| Субъект ПДн | физическое лицо, которому принадлежат персональные данные и по которым его можно определить |
| Обработка персональных данных | любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных |
| Предоставление персональных данных | действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц |
| Распространение персональных данных | действия, направленные на раскрытие персональных данных неопределенному кругу лиц |
| Специальные категории персональных данных | категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни |
| Субъект персональных данных | физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных |
| Трансграничная передача персональных данных | передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу |
| Уничтожение персональных данных | действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных |
| Контрагент | юридическое лицо, индивидуальный предприниматель, физическое лицо, находящиеся с ООО «Глобал Трейд» в обязательственных отношениях, возникших в связи с заключением договора либо по иным, предусмотренным законодательством основаниям |
| Конфиденциальность информации | Обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия её обладателя |
| Информационные ресурсы | Отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах) |
| Обозначение/сокращение | Расшифровка |
|---|---|
| Политика | Политика обработки и защиты персональных данных |
| Общество | ООО «Глобал Трейд» |
| Субъект | Физическое лицо, которому принадлежат персональные данные и по которым его можно определить |
| ГПХ | Договор гражданско-правового характера |
| Вид, дата и номер документа | Заголовок документа |
|---|---|
| Федеральный закон от 27.07.2006 № 149–ФЗ | Об информации, информационных технологиях и о защите информации |
| Федеральный закон от 27.07.2006 № 152–ФЗ | О персональных данных |
4.1. В целях соблюдения законодательства Российской Федерации, регулирующего отношения, связанные с обработкой и обеспечением безопасности персональных данных, а также поддержания деловой репутации Общества считает своей задачей соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
4.2. Настоящая Политика в отношении обработки и защиты персональных данных в Обществе:
4.3. Основные права Субъектов персональных данных:
4.4. Основные обязанности Общества:
5.1. Общество обрабатывает персональные данные следующих категорий Субъектов персональных данных:
5.2. Общество обрабатывает персональные данные работников исключительно в целях:
5.3. Общество обрабатывает персональные данные родственников работников исключительно в целях выполнения требований законодательства Российской Федерации, ведения кадрового учета.
5.4. Общество обрабатывает персональные данные бывших работников исключительно в целях выполнения требований законодательства Российской Федерации, ведения бухгалтерского учета.
5.5. Общество обрабатывает персональные данные контрагентов, представителей юридических лиц исключительно в целях заключения и выполнения обязательств по договорам.
5.6. Общество обрабатывает персональные данные кандидатов на замещение вакантных должностей исключительно в целях принятия решения о трудоустройстве кандидата в Общество.
5.7. Общество обрабатывает персональные данные работников по ГПХ исключительно в целях заключения и выполнения обязательств по договорам гражданско-правового характера.
5.8. Общество обрабатывает персональные данные пользователей сайта исключительно в целях:
6.1. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных.
6.2. Обработка персональных данных в Обществе осуществляется в соответствии с правовыми основаниями, определенными:
7.1. Содержание и объем обрабатываемых персональных данных Субъектов соответствует целям обработки.
7.2. В рамках обработки персональных данных работников обрабатываются следующие категории персональных данных:
7.3. В рамках обработки персональных данных бывших работников обрабатываются следующие категории персональных данных:
7.4. В рамках обработки персональных данных родственников работников обрабатываются следующие категории персональных данных:
7.5. В рамках обработки персональных данных контрагентов, представителей юридических лиц обрабатываются следующие категории персональных данных:
7.6. В рамках обработки персональных данных кандидатов на замещение вакантных должностей обрабатываются следующие категории персональных данных:
7.7. В рамках обработки персональных данных работников по ГПХ обрабатываются следующие категории персональных данных:
7.8. В рамках обработки персональных данных пользователей сайта proglobaltrade.ru обрабатываются следующие категории персональных данных:
7.9. Общество не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
7.10. Общество не осуществляет трансграничную (на территории иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.
7.11. В Обществе созданы общедоступные источники персональных данных (сайт). Персональные данные (фамилия, имя, отчество, место работы, должность и др.), сообщаемые субъектом (работником), включаются в такие источники только с письменного согласия субъекта персональных данных.
8.1. В Обществе обработка персональных данных субъектов осуществляется в целях, указанных в разделе 5 настоящей Политики.
8.2. В Обществе обрабатываются категории персональных данных, указанные в разделе 7 настоящей Политики.
8.3. Обработка персональных данных в Обществе осуществляется только при условии получения согласия субъектов персональных данных. Согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом «О персональных данных».
8.4. Обработка персональных данных субъектов включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
8.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных (их законных представителей).
8.6. Общество и его работники, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
8.7. Общество вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
8.8. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, работник Общества, осуществляющий сбор (получение) персональных данных непосредственно от субъектов персональных данных, обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
8.9. Общество в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст.5 Федерального закона 152-ФЗ «О персональных данных».
8.10. Общество в своей деятельности принимает меры, предусмотренные ч. 2 ст. 18.1, ч.1 ст.19 Федерального закона 152-ФЗ «О персональных данных».
8.11. В Обществе не используются для обработки персональных данных базы данных, находящиеся за пределами границ Российской Федерации.
8.12. Для достижения целей обработки персональных данных Обществом могут использоваться информационные ресурсы, предоставляемые сторонними организациями во временное пользование (например: облачный хостинг 1С, Yandex.Cloud и т.п.). Для обеспечения безопасности персональных данных, обрабатываемых на таких ресурсах, применяются следующие подходы:
8.13. Условия прекращения обработки персональных данных в Обществе:
8.14. Назначенными лицами Общества осуществляется контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях.
8.15. Срок хранения персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
8.16. Обществом при обработке персональных данных приняты необходимые правовые, организационные и технические меры, реализованы требования к защите персональных данных:
8.17. В целях соблюдения законодательства РФ, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Общество в ходе своей деятельности предоставляет персональные данные следующим организациям:
9.1. В случае выявления неправомерной обработки персональных данных Общество осуществляет блокирование неправомерно обрабатываемых персональных данных.
9.2. В случае выявления неточных персональных данных Общество осуществляет блокирование соответствующих персональных данных на период проверки. В случае подтверждения факта неточности персональных данных Общество на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные и снимает блокирование персональных данных.
9.3. Общество обязано сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.
9.4. Сведения, касающиеся обработки персональных данных, предоставляются субъекту персональных данных или его представителю при получении запроса субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
9.5. Рассмотрение запросов субъектов персональных данных или их представителей, а также уполномоченного органа по защите прав субъектов персональных данных:
9.5.1. Субъекты персональных данных имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
9.5.2. При получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных, Общество предоставляет сведения в сроки в соответствии с требованиями статьи 20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
9.6. Субъекты персональных данных вправе требовать от Общества уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.7. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
9.8. Для получения необходимой информации, касающейся обработки персональных данных, описанной в пункте 9.5.1. настоящей Политики, субъекту (либо законному представителю) необходимо заполнить соответствующую форму запроса субъекта персональных данных информации, касающейся обработки персональных данных (приложение 1 или 5) и передать лично работникам Общества, принимающим обращения граждан, либо по почте.
9.9. Для уточнения определенных персональных данных субъекту (либо законному представителю) необходимо заполнить соответствующую форму запроса субъекта персональных данных на уточнение персональных данных (приложение 2 или 6) и передать лично работникам Общества, принимающим обращения граждан, либо по почте.
9.10. Для исключения неправомерности обработки персональных данных Субъекту (либо законному представителю) необходимо заполнить соответствующую форму запроса субъекта персональных данных на уничтожение персональных данных (приложение 3 или 7) и передать лично работникам Общества, принимающим обращения граждан, либо по почте.
9.11. Для отзыва согласия Субъекта персональных данных на обработку его персональных данных субъекту (либо законному представителю) необходимо заполнить соответствующую форму отзыва согласия субъекта персональных данных на обработку его персональных данных (приложение 4 или 8) и передать лично работникам Общества, принимающим обращения граждан, либо по почте. В случае отзыва согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
9.12. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
9.13. При получении запроса Субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных, по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных, Общество осуществляет соответствующие меры и уведомляет о выполненных мерах в сроки согласно требованиям статьи 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
10.1. Обработка персональных данных без использования средств автоматизации, осуществляется с учетом требований постановления Правительства Российской Федерации «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15 сентября 2008 г. № 687, а также требований нормативных правовых актов федеральных органов исполнительной власти и органов исполнительной власти субъектов Российской Федерации.
10.2. Персональные данные при обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
10.3. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
10.4. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Обществом без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Общества.
10.5. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться следующие условия:
10.6. При ведении журналов (журналов регистрации, журналов посещений и пр.), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных в помещение Общества или в иных аналогичных целях, должны соблюдаться следующие условия:
10.7. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, зачеркивание, стирание).
10.8. По истечении срока хранения (30 дней, если иное не прописано в нормативно-правовых актах) документы, либо иные материальные носители персональных данных должны быть уничтожены без возможности восстановения (например, в бумагорезательных машинах) с составлением акта.
10.9. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.
10.10. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
10.11. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
10.12. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются соответствующими актами Общества.
11.1. Обработка персональных данных с использованием средств автоматизации (автоматизированным способом) может осуществляться исключительно на автоматизированных рабочих местах информационных систем персональных данных, утверждённых актами Общества.
11.2. Хранение носителей (Flash USB, HDD, дисков и т.п.), содержащих персональные данные, должно осуществляться в специальных папках, закрытых шкафах или сейфах, в порядке, исключающем доступ к ним третьих лиц.
11.3. Обработка персональных данных в Обществе осуществляется до наступления одного из условий прекращения обработки персональных данных, указанных в настоящей Политике.
11.4. По истечении срока хранения (30 дней, если иное не прописано в нормативно-правовых актах) для машинных носителей допускается гарантированное удаление информации методом многократной перезаписи с помощью специализированных программ (например, «Safe Erase», «Eraser», «FDelete») без уничтожения материального носителя.
11.5. Обезличивание персональных данных в Обществе не предполагается.
11.6. Безопасность персональных данных при их обработке с использованием технических и программных средств обеспечивается с помощью системы защиты персональных данных, включающей в себя организационные меры и средства защиты информации, удовлетворяющие устанавливаемым в соответствии с законодательством РФ требованиям, обеспечивающим защиту информации.
11.7. Определение конкретных мер, общая организация, планирование и контроль выполнения мероприятий по защите персональных данных осуществляется ответственными в соответствии с законодательством в области защиты персональных данных и локальными нормативными актами Общества.
12.1. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
12.2. Безопасность персональных данных при их обработке в информационной системе обеспечивает ответственный за обеспечение безопасности персональных данных.
12.3. При обработке персональных данных в информационной системе должно быть обеспечено:
12.4. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают:
13.1. Настоящая Политика является внутренним документом Общества, общедоступным и подлежит размещению на официальном сайте Общества.
13.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.
13.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных в Обществе.
13.4. Ответственность пользователей, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Общества.
Мы используем файлы cookie и рекомендательные технологии. Пользуясь сайтом, вы соглашаетесь с Политикой обработки персональных данных
