Принципы, цели, содержание и способы обработки персональных данных
3.1. Компания в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
3.2. Компания осуществляет сбор и дальнейшую обработку персональных данных в следующих целях:
3.2.1. Подбор работников Компании.
3.2.2. Ведение кадрового учета работников Компании.
3.2.3. Ведение справочников работников Компании.
3.2.4. Осуществление взаиморасчетов с работниками Компании.
3.2.5. Осуществление отчетности, предусмотренной законодательством Российской Федерации.
3.2.6. Оформление доверенностей.
3.2.7. Предоставление возможности добровольного медицинского обслуживания работникам Компании.
3.2.8. Управление физическим доступом на территорию Компании.
3.2.9. Предоставление посетителям сайта www.vbr.ru. сервисов помогающих пользователям сориентироваться в предложениях финансовых продуктов и услуг, застраховать собственность.
3.2.10. Предоставление посетителям сайта www.vbr.ru сервисов для подачи заявок на финансовые продукты.
3.2.11. Функционирование общедоступных форумов сайта www.vbr.ru.
3.3. Компания установила следующие сроки и условия прекращения обработки персональных данных:
3.3.1. Достижение целей обработки персональных данных и максимальных сроков хранения – в течение 30 дней.
3.3.2. Утрата необходимости в достижении целей обработки персональных данных – в течение 30 дней.
3.3.3. Предоставление субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки – в течение 7 дней.
3.3.4. Невозможность обеспечения правомерности обработки персональных данных – в течение 10 дней.
3.3.5. Отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных – в течение 30 дней.
3.4. Обработка персональных данных Компанией включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3.5. Компания не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
3.6. Компания не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
3.7. Компания не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.
3.8. Компанией создаются общедоступные источники персональных данных (справочники, адресные книги). Персональные данные, сообщаемые субъектом (фамилия, имя, отчество, наименование занимаемой должности, контактные данные и др.), включаются в такие источники только с письменного согласия субъекта персональных данных.
3.9. Компанией не принимаются решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
3.10. Компания осуществляет обработку персональных данных с использованием средств автоматизации и без использования средств автоматизации.
Популярные статьи
- 44.6K
- 10 мин.
Без денег не останетесь: 10 способов заработка в интернете
Интернет создан не только для развлечений и просмотра сериалов, он также может помочь получить дополнительный заработок. Как? Читайте в статье. Мы расскажем про 10 способов, как заработать реальные деньги в интернете без обмана.
- 15.2K
- 12 мин.
25 бизнес-моделей: что такое, зачем нужно и кому пригодится
Развитие бизнеса не строится по наитию, нужна четкая стратегия и определенная модель. Хотите узнать, как крупные бренды завоевали рынок и по какой бизнес-модели действовали? Тогда читайте статью. В ней представим популярные бизнес-модели и расскажем, зачем они вообще нужны.
- 26.7K
- 11 мин.
Cайты-агрегаторы: как попасть в ТОП с их помощью
Сайты-агрегаторы – настоящие «монстры» выдачи, они в топе любой популярной ниши, и на это есть серьезные причины. Что это за сайты, почему так хорошо продвигаются и что делать, если в ваш сегмент бизнеса пролез такой ужасный «монстр» – поговорим в статье.
Порядок и условия обработки персональных данных
В данном разделе Роскомнадзор рекомендует указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки персональных данных.
Выбираем. ФЗ 152 предусмотрен следующий перечень операций с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Способы обработки могут включать:
а) автоматизированную обработку персональных данных
б) обработку персональных данных без использования средств автоматизации.
Согласно определению, данному в ФЗ 152, автоматизированная обработка персональных данных представляет собой обработка персональных данных с помощью средств вычислительной техники.
Казалось бы, что сюда попадают любые действия с ПДн, выполняемые с использованием вычислительной техники. Но не все так просто. Смотрим Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждено постановлением Правительства РФ от 15 сентября 2008 г. N 687.
В п.1 указано, что обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее (п.2).
Иными словами, если ПДн не используется, не уточняются, не распространяются и не уничтожаются в ИПДН вашего сайта в автоматическом режиме без участия человека, можно смело выбирать второй способ обработки — обработку персональных данных без использования средств автоматизации.
Результатом этого простого действия будет легальный отказ от применения драконовских требований ФЗ 152 по обработке автоматизированной обработке ПНн в информационной системе.
В отношении сроков обработки ПДн предлагаем указывать как минимум срок действия договора, во исполнение которого запрашивались ПДн. Можно добавить к сроку действия договора 3 года исковой давности на защиту прав в связи с его исполнением.
Роскомнадзор напоминает, что при осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных». Отражать данный пункт в Политике не обязательно, поскольку он связан с фактическими обстоятельствами. Хотя для проформы можно включить в Политику декларативную статью об обработке ПДн на территории России.
Далее Роскомнадзор рекомендует указывать условия передачи персональных данных в адрес третьих лиц. Важный момент. Обычно данный перечень сводится к следующим основаниям передачи ПДн:
- Пользователь выразил свое согласие на такие действия;
- Передача требуется для заключения и исполнения договоров на или с использованием Сайта;
- По запросу суда или иного уполномоченного государственного органа в рамках установленной законодательством процедуры
- Для защиты прав и законных интересов в связи с нарушением заключенных с пользователем договоров.
В определенных пределах данный перечень можно расширить на случаи продажи Сайта или передачи ПДн в обезличенном виде.
Помимо этого Роскомнадзор рекомендует указывать в данном разделе Политики сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона «О персональных данных», а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных».
На практике данные сведения сводятся к заявлению, что администрация Сайта осуществляет хранение Персональных данных и обеспечивает ее охрану от несанкционированного доступа и распространения в соответствии с внутренними правилами и регламентами.
Как разработать политику обработки персданных
Роскомнадзор рекомендует включить в документ шесть блоков.
1. Вводная часть
В этом разделе указывают, для чего организация осуществляет сбор ПД. В блок включают термины, которые встречаются по тексту, перечисляют права и обязанности оператора и субъекта ПД.
2. Цели сбора данных
В соответствии со ст. 5 ФЗ № 152 оператору необходимо определить цели сбора и обработки ПД. Их формируют с учетом:
- положений локальных нормативных актов;
- специфики деятельности организации;
- требований бизнес-процессов;
- особенностей программного обеспечения на предприятии.
3. Основания работы с ПД
Правовое регулирование работы с данными осуществляет не только ФЗ № 152, в положение необходимо включить в качестве правовой основы:
- уставные документы;
- локальные нормативные акты (должностные инструкции, регламенты доступа к информации и пр.);
- договоры, на основании которых происходит взаимодействие оператора и субъекта;
- согласия субъектов на доступ к данным и пр.
4. Перечень, объем данных и категории субъектов
Объем обрабатываемой информации необходимо сопоставить с целями. Значение должно соответствовать целям: для связи с клиентом в целях оформления заявки достаточно номера телефона и имени, не следует запрашивать паспортные данные, прописку и пр.
Категории субъектов перечисляют в зависимости от целей получения данных:
- сотрудники;
- клиенты;
- кандидаты на вакантные должности;
- контрагенты и пр.
Объем и цели указывают для каждой категории субъектов.
5. Порядок работы с ПД
В этом разделе указывают перечень действий, которые ответственный работник совершает при получении и работе с информацией. Эту информацию допустимо взять из должностной инструкции или положения о работе с ПД в организации.
Необходимо детально прописать цепочку действий сотрудника от запроса информации до прекращения работы с данными.
ВАЖНО!
Включите раздел с требованиями к хранению полученной информации и условиями передачи третьим лицам.
6. Обновление, уничтожение ПД и порядок доступа к информации
Ст. 21 ФЗ № 152 требует актуализации информации в случае неточностей или ее изменения.
ПД необходимо уничтожить при достижении цели обработки, в случае отзыва субъекта ПД согласия на обработку.
Роскомнадзор рекомендует включить в документ порядок реагирования на запросы и обращения субъектов ПД по вопросу уточнения данных, неправомерности их обработки, отзыва согласия и доступа к своим данным.
Принципы и условия обработки персональных данных Пользователей
В соответствии с требованиями Закона о персональных данных условиями и принципами обработки Оператором персональных данных Пользователей являются:
- Обработка персональных данных осуществляется с согласия Пользователя на обработку его персональных данных. Нажимая кнопку «Я прочитал и согласен с условиями» Пользователь выражает свое согласие на обработку его персональных данных Оператором в соответствии с настоящей Политикой и подтверждает, что такое согласие дано им свободно, своей волей и в своем интересе. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель Пользователя.
- Согласие на обработку персональных данных может быть отозвано Пользователем. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных только при наличии оснований, предусмотренных Законом о персональных данных.
- В случае отзыва Пользователем согласия на обработку его персональных данных Оператор обязан прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные в срок, не превышающий тридцати дней с даты поступления указанного отзыва.
- В случае отсутствия возможности уничтожения персональных данных в течение указанного срока, указанного Оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев.
Сбор и обработка персональных данных Оператором осуществляется с помощью формы сбора заявок, расположенной на сайте vk.com. Пользователь Сайта предоставляет Оператору свои персональные данные путем заполнения формы сбора заявок на Сайте. Нажимая кнопку подтверждения подписки Пользователь дает Оператору согласие на обработку предоставленных им персональных данных в соответствии с условиями настоящей Политики.
Пользователь имеет право на получение от Оператора следующей информации, касающейся обработки его персональных данных, в том числе при сборе его персональных данных (за исключением случаев, предусмотренных Законом о персональных данных):
- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему Пользователю, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- иные сведения, предусмотренные федеральными законами.
Пользователь вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. В срок, не превышающий семи рабочих дней со дня предоставления Пользователем сведений, подтверждающих, что его персональные данные, находящиеся у Оператора, являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления Пользователем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить Пользователя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, в случае если им были переданы персональные данные этого Пользователя.
Цели сбора персональной информации пользователя
4.1. Персональные данные Пользователя Администрация может использовать в целях:4.1.1. Идентификации Пользователя, зарегистрированного на сайте fileenergy.com – сайт об информационных технологиях для его дальнейшей авторизации.4.1.2. Предоставления Пользователю доступа к персонализированным данным сайта fileenergy.com – сайт об информационных технологиях.4.1.3. Установления с Пользователем обратной связи, включая направление уведомлений, запросов, касающихся использования сайта fileenergy.com – сайт об информационных технологиях, обработки запросов и заявок от Пользователя.4.1.4. Определения места нахождения Пользователя для обеспечения безопасности, предотвращения мошенничества.4.1.5. Подтверждения достоверности и полноты персональных данных, предоставленных Пользователем.4.1.6. Создания учетной записи для использования частей сайта fileenergy.com – сайт об информационных технологиях, если Пользователь дал согласие на создание учетной записи.4.1.7. Уведомления Пользователя по электронной почте.4.1.8. Предоставления Пользователю эффективной технической поддержки при возникновении проблем, связанных с использованием сайта fileenergy.com – сайт об информационных технологиях.4.1.9. Предоставления Пользователю с его согласия специальных предложений, новостной рассылки и иных сведений от имени сайта fileenergy.com – сайт об информационных технологиях.
Как мы собираем данные
Какую информацию мы собираем от пользователей?
Мы собираем от пользователей информацию двух типов: личную информацию и неличную информацию .
Мы также собираем информацию об устройстве, которое вы используете для доступа к нашему веб-сайту, программному и аппаратному обеспечению, которые могут идентифицировать вас, например IP-адреса.
Когда вы используете свою учетную запись в социальной сети, например Facebook, для посещения и использования нашего веб-сайта, мы будем иметь доступ к данным вашей учетной записи в социальной сети, включая ваше имя, дату рождения, ваши фотографии и список друзей.
Информация неличного характера – это второй тип информации, которую мы собираем, когда пользователи пользуются услугами веб-сайта. Эта информация может содержать техническую информацию, такую как операционные системы, языковые предпочтения браузера и клавиатуры, время доступа и т.д., относящиеся к вашему программному и аппаратному обеспечению.
Информация, относящаяся к использованию вами услуг, например просмотренные страницы, время посещения и клики, способствует исследованиям и аналитике, чтобы мы могли улучшить ваш опыт.
Мы анонимизируем, мы собираем информацию, чтобы гарантировать, что этот тип информации не может идентифицировать вас.
ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПДн
5.1. Под безопасностью персональных данных Компания понимает защищенность ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн и принимает необходимые правовые, организационные и технические меры для защиты ПДн.
5.2. Обработка и обеспечение безопасности персональных данных в Компании осуществляется в соответствии с требованиями Конституции Российской Федерации, Федерального закона № 152-ФЗ «О персональных данных», подзаконных актов, других определяющих случаи и особенности обработки персональных данных федеральных законов Российской Федерации, руководящих и методических документов ФСТЭК России и ФСБ России.
5.3. При обработке персональных данных Компания придерживается следующих принципов:
- законности и справедливой основы;
- ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
- недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
- недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработки персональных данных, которые отвечают целям их обработки;
5.4. Компания обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для осуществления прав и законных интересов Компании или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
5.5. Компания вправе поручить обработку персональных данных граждан третьим лицам, на основании заключаемого с этими лицами договора.
5.6. Лица, осуществляющие обработку персональных данных по поручению Компании, обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных». Для каждого лица определены перечень действий (операций) с персональными данными, которые будут совершаться юридическим лицом, осуществляющим обработку персональных данных, цели обработки, установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных.
5.7. В целях информационного обеспечения в Компании могут создаваться общедоступные источники персональных данных работников, в том числе справочники и адресные книги. В общедоступные источники персональных данных с согласия работника могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты. Сведения о работнике должны быть в любое время исключены из общедоступных источников персональных данных по требованию работника либо по решению суда или иных уполномоченных государственных органов.
5.8. Общество уничтожает либо обезличивает персональные данные по достижении целей обработки или в случае утраты необходимости достижения цели обработки.
Ответственность сторон
7.1. Администрация, не исполнившая свои обязательства, несёт ответственность за убытки, понесённые Пользователем в связи с неправомерным использованием персональных данных, в соответствии с законодательством Российской Федерации, за исключением случаев, предусмотренных п.п. 5.2. и 7.2. настоящей Политики Конфиденциальности.
7.2. В случае утраты или разглашения Конфиденциальной информации Администрация не несёт ответственность, если данная конфиденциальная информация:7.2.1. Стала публичным достоянием до её утраты или разглашения.7.2.2. Была получена от третьей стороны до момента её получения Администрацией Ресурса.7.2.3. Была разглашена с согласия Пользователя.
7.3. Пользователь несет полную ответственность за соблюдение требований законодательства РФ, в том числе законов о рекламе, о защите авторских и смежных прав, об охране товарных знаков и знаков обслуживания, но не ограничиваясь перечисленным, включая полную ответственность за содержание и форму материалов.
7.4. Пользователь признает, что ответственность за любую информацию (в том числе, но не ограничиваясь: файлы с данными, тексты и т. д.), к которой он может иметь доступ как к части сайта fileenergy.com – сайт об информационных технологиях, несет лицо, предоставившее такую информацию.
7.5. Пользователь соглашается, что информация, предоставленная ему как часть сайта fileenergy.com – сайт об информационных технологиях, может являться объектом интеллектуальной собственности, права на который защищены и принадлежат другим Пользователям, партнерам или рекламодателям, которые размещают такую информацию на сайте fileenergy.com – сайт об информационных технологиях. Пользователь не вправе вносить изменения, передавать в аренду, передавать на условиях займа, продавать, распространять или создавать производные работы на основе такого Содержания (полностью или в части), за исключением случаев, когда такие действия были письменно прямо разрешены собственниками такого Содержания в соответствии с условиями отдельного соглашения.
7.6. В отношение текстовых материалов (статей, публикаций, находящихся в свободном публичном доступе на сайте fileenergy.com – сайт об информационных технологиях) допускается их распространение при условии, что будет дана ссылка на Проект об информационных технологиях.
7.7. Администрация не несет ответственности перед Пользователем за любой убыток или ущерб, понесенный Пользователем в результате удаления, сбоя или невозможности сохранения какого-либо Содержания и иных коммуникационных данных, содержащихся на сайте fileenergy.com – сайт об информационных технологиях или передаваемых через него.
7.8. Администрация не несет ответственности за любые прямые или косвенные убытки, произошедшие из-за: использования либо невозможности использования сайта, либо отдельных сервисов; несанкционированного доступа к коммуникациям Пользователя; заявления или поведение любого третьего лица на сайте.
7.9. Администрация не несет ответственность за какую-либо информацию, размещенную пользователем на сайте fileenergy.com – сайт об информационных технологиях, включая, но не ограничиваясь: информацию, защищенную авторским правом, без прямого согласия владельца авторского права.