CLKEY.COM | Обработка персональных данных
16781
page-template-default,page,page-id-16781,qode-quick-links-1.0,ajax_fade,page_not_loaded,,qode_grid_1300,wpb-js-composer js-comp-ver-5.6,vc_responsive

Обработка персональных данных

ООО «МЕДИА ЧЕЛЛЕНДЖ»

Утверждаю

Антонычев Д.А.

 

Положение о политике работы оператора с персональными данными

Настоящее Положение разработано и принято в соответствии с законом «О персональных данных» и регулирует организационные, технические и юридические вопросы получения, обработки, систематизации, хранения, уточнения, передачи и уничтожения персональных данных.

Цель разработки Положения — определение порядка обработки персональных данных работников Организации и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий оператора, обеспечение защиты прав и свобод человека и гражданина, в т.ч. работника Организации, при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

Основные понятия :

— персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и месторождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

— конфиденциальность персональных данных — обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия или иного законного основания;

— распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том

числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным иным способом;

— использование персональных данных — действия (операции) с персональными данными, совершаемые должностным лицом оператора в целях принятия решений или совершения иных действий, порождающих юридические последствия либо иным образом затрагивающих их права и свободы или права и свободы других лиц;

— блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

— уничтожение персональных данных — действия, в результате которых невозможно восстановить Содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

— обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному лицу;

— общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия лица или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

— информация — сведения (сообщения, данные) независимо отформы их представления.

— документированная информация — зафиксированная на материальном (как правило, бумажном) носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

— правообладатель — автор результата интеллектуальной деятельности, творческим трудом которого создан такой результат, любое иное лицо, обладающее исключительными правами на результат интеллектуальной деятельности на законных основаниях.

— работник — лицо, состоящее с организацией оператора в трудовых отношениях, вытекающих из договора трудового найма.

1. Обработка персональных данных предполагает их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

2. Обработка персональных данных должна осуществляться на законной и справедливой

3. Оператором обработки персональных данных является ООО «МЕДИА ЧЕЛЛЕНДЖ».

4. Обработка персональных данных оператором преследует своей целью:

— ведение реестранаемных работников оператора,

— ведение актуального реестра клиентов хостинга, заказанных, потребленных, оплаченных и отключенных ими услуг,

— ведение актуального реестра правообладателей (их представителей), подавших жалобу на незаконно размещенный клиентами хостинга контент.

5. В состав персональных данных, подлежащих обработке на общих основаниях включаются: фамилия, имя, отчество (при наличии) лица, его паспортные данные (номер, серия, даты выдачи и орган, выдавший документ), номер телефона, электронная почта лица, доверенность (для представителей).

В тех случаях, когда заключение договора с клиентом хостинга осуществляется дистанционно при помощи активации учетных данных личного кабинета на сайте оператора, все предоставленные им данные учитываются и хранятся оператором в виде «как есть».

Вся полнота ответственности за предоставление чужих, искаженных, неправильных, ошибочных или неактуальных данных, либо за несвоевременное уведомление оператора об изменившихся персональных данных, возлагается на субъекта обработки персональных данных независимо от того,имелась ли возможность их проверки оператором или нет.

6. Обработка персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается.

7. Персональные данные работников оператора
Состав персональных данных, необходимых для обработки в связи с трудовой

деятельностью лица, определяется трудовым законодательством.

В состав персональных данных работников оператора дополнительно входят документы, содержащие информацию об образовании, отношении к воинской обязанности, семейном положении, месте жительства, состоянии здоровья, а также опредыдущих местах их работы.

Работодатель как оператор обработки персональных данных осуществляет передачу персональных данных работников в пределах Организации в соответствии с настоящим Положением.

7.1. Информация, представляемая работником при поступлении на работу в Организацию, должна иметь документальную форму. При заключении трудового договора лицо, поступающее на работу, предьявляет работодателю:

— паспортили иной документ, удостоверяющий личность;

— трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;

— страховое свидетельство государственного пенсионного страхования;

— документы воинского учета — для военнообязанных и лиц, подлежащих воинскому учету;

— документ об образовании, о квалификации или наличии специальных знаний — при поступлении на работу, требующую специальных знаний или специальной подготовки;

— свидетельство о присвоении ИНН (при его наличии у работника).

7.2. При оформлении работника в Организацию работником отдела кадров заполняется унифицированная форма T-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:

— общие сведения (ФИО. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);

— сведения о воинском учете;
— данные о приеме на работу;
В дальнейшем в личную карточку вносятся:
— сведения о переводах на другую работу;
— сведения обаттестации;
— сведения о повышении квалификации;
— сведения о профессиональной переподготовке,
— сведения о наградах (поощрениях), почетных званиях; — сведения об отпусках;
— сведения о социальных гарантиях;

— сведения о месте жительства и контактных телефонах.

7.3. В отделе кадров Организации создаются и хранятся следующие группы документов, содержащие данные оработниках в единичном или сводном виде:

— Документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность, подлинники и копии приказов по личному составу, личные дела и трудовые книжки работников, дела, содержащие основания к приказу по личному составу, дела, содержащие материалы аттестации работников, служебных расследований, справочно- информационный банк данных по персоналу (картотеки, журналы), подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Организации, руководителям структурных подразделений, копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения).

— Документация по организации работы структурных подразделений (положения о структурных подразделениях, должностные инструкции работников, приказы, распоряжения, указания руководства Организации), документы по планированию, учету, анализу и отчетности в части работы с персоналом Организации.

Все персональные данные работника Организации следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо работодателя должно сообщить работнику Организации о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказаработника дать письменное согласие на их получение Работник Организации предоставляет работнику отдела кадров Организации достоверные сведения о себе. Работник отдела кадров Организации проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами.

7.4. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. При определении объема и содержания, обрабатываемых персональных данных Работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами. При принятии решений, затрагивающих интересы работника,

Работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Защита персональных данных работника от неправомерного их использования или утраты обеспечивается Работодателем за счет его средств в порядке, установленном федеральным законом. Работники и их представители должны быть ознакомлены под расписку с документами Организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

7.5. Оператор не сообщает персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.

7.6. Оператор обязан предупредить лиц получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правилособлюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.

7.7. Доступ к персональным данным работников разрешается только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретной функции.

7.8. Информация о состоянии здоровья работника запрашивается в пределах тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

7.9. При получении персональных данных не от работника (за исключением случаев, если персональные данные были предоставлены работодателю на основании федерального закона или если персональные данные являются общедоступными) работодатель доначала обработки таких персональных данных обязан предоставить работнику следующую информацию:

— наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

— цель обработки персональных данных и ее правовое основание;

— предполагаемые пользователи персональных данных;

— установленные настоящим Федеральным законом права субъекта персональных данных.

7.10. Право доступа к персональным данным работников имеют:

— генеральный директор Организации,

— сотрудники отдела кадров;

— сотрудники бухгалтерии;

— начальник отдела экономической безопасности (информация о фактическом месте проживания и контактные телефоны работников);

— сотрудники секретариата (информация о фактическом месте проживания иконтактные телефоны работников);

— начальник отдела внутреннего контроля (доступ к персональным данным работников в ходе плановых проверок);

— руководители структурных подразделений по направлению деятельности (доступ к персональным данным только работников своего подразделения).

7.11. Работник Организации имеет право:

— Получать доступ к своим персональным данными ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные работника .

— Требовать от Работодателя уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для Работодателя персональных данных.

— Получать от Работодателя сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ, перечень обрабатываемых персональных данных и источниких получения, сроки обработки персональных данных, в том числе сроки их хранения, сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

— Требовать извещения Работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

— Копировать и делать выписки персональных данных работника разрешается исключительно в служебных целях с письменного разрешения начальника отдела кадров.

7.12. Передача информации третьей стороне возможна только при письменном согласии работников.

8. Состав персональных данных, необходимых для обработки жалоб правообладателей определяется ст. 15.7 Закона «Об информации, информационных технологиях и защите информации».

Полученные оператором бумажные носители с любыми персональными данными (копии паспорта, письма, заявления, почтовая корреспонденция, доверенности и пр) подшиваются в единое дело отдела кадров (отдела персонала) по реестрам и классификаторам (год, наименование организации и прочие установленные критерии). Папки сделами хранятся в стеллажах на полках закрываемых шкафов. Ключи хранятся улица, ответственного (назначенного) за организацию обработки персональных данных. Шкафы опечатываются.

9. Обработка персональных данных осуществляется на основе изначально полученных данных, что влияет на их дальнейшую точность, достаточность и актуальность.

10. Оператор принимает необходимые меры по удалению или уточнению неполных или неточных данных в тех случаях, когда располагает соответствующей достоверной информацией полученной как им самим, так и извнешних источников.

11. В силу специфики работы оператора первичное занесение персональных данных клиентов хостинга, их хранение и обработка осуществляется преимущественно в электронно-цифровой форме на сервере оператора.

12. Хранение и обработка персональных данных осуществляется: — в отношении клиента и наемных работников оператора — в течение срока действия соответствующего договора и 3 лет после его прекращения, — в отношении лиц, подавших жалобу на незаконноразмещенный контент (правообладателей) — на период рассмотрения жалобы, но не более 1 года с момента принятия жалобы к рассмотрению.

По истечении указанных сроков обрабатываемые персональные данные подлежат уничтожению по акту.

13. Обработка персональных данных осуществляется только с предварительно полученного согласия субъекта персональных данных на обработку его персональных данных, кроме случаев, предусмотренных законом.

14. Согласие на обработку персональных данных клиента хостинга не

требуется, если эта обработка необходима для исполнения договора с ним. Согласие на обработку персональных данных в целях продвижения товаров, работ, услуг оператора путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи со стороны субъектов персональных данных предполагается с момента, предусмотренного ч. 2 п. 19 настоящего Положения.

15. Раскрытие персональных данных третьим лицам недопускается без согласия субъекта этих данных, за исключением случаев, предусмотренных законом (запросы судебно-следственных органов и пр). Если иное не предусмотрено специальной нормой закона, запросы о предоставлении персональных данных субъекта исполняются в течение 30 дней.

16. Субъект персональных данных принимает решение опредоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированными сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме. В случае Получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

В связи с невозможностью по одному лишь адресу электронной почты идентифицировать лиц, от которых согласие на обработку персональных данных поступает в электронном виде, в письме обязательно прикрепление копий документов, содержащих сведения согласно п. 20 Положения.

17. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в любой момент. Отзыв клиентом хостинга своего согласия на обработку его персональных данных влечет за собой расторжение договора на услуги хостинга в одностороннем порядке. При этом оператор вправе хранить и обрабатывать такие персональные данные согласно п.12 настоящего Положения.

18. В случаях, предусмотренных законом, оператор вправе продолжить обработку персональных данных даже в случае отзыва согласия на их обработку.

19. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной формена бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.

Аналогом согласия на обработку персональных данных клиентом хостинга является его акцептоферты оператора хостинга (в том числе, но не ограничиваясь начало пользования услугами, нажатие клавиши «Выполнить», «Начать», проставление знака «V» в ячейке «Согласен» и пр).

Все действия клиента хостинга на сайте оператора фиксируются сертифицированным оборудованием и считаются действиями самого клиента.

20. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способего отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

21. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Уведомление субъекта об исправлении его неточных персональных данных или об их уничтожении (в том числе, если они получены нелегальным путем) должно быть исполнено оператором в течение 7 дней.

22. Субъект персональных данных вправе направить оператору запрос о перечне своих персональных данных, находящихся на хранении и в обработке у оператора. Запрос должен Содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором

(номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью.

23. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора соператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источниких получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или опредполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому Лицу.

Возможность ознакомления с данными сведениями предоставляется в течение 30 дней с момента получения запроса.

24. Аналогичный запростого же субъекта персональных данных может быть направлен оператору повторно не ранее чем через тридцать дней после первоначального обращения.

25. Сведения, предусмотренные п. 23 настоящего Положения, не предоставляются, если:

1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект

персональных данных;

3) персональные данные сделаны общедоступными субъектом персональных данных или получены изобщедоступного источника;

4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

5) предоставление субъекту персональных данных сведений нарушает права и законные интересы третьих лиц.

26. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей по обработке персональных данных, а именно:

1) за организацию обработки персональных данных отвечает персонально Генеральный директор;

2) размещение настоящето Положения на сайте оператора для всеобщего ознакомления;

3) хранение базы данных с персональной информацией субъектов в электронно- цифровом видена Сервере в охраняемом помещении с ограниченным доступом, опечатывание мест хранения персональных данных на бумажных носителях;

4) отнесение списка клиентов и предоставляемых им услуг хостинга к режиму коммерческой тайны;

5) ознакомление персонала с настоящим положением и ответственностью за его неисполнение;

6) запрет на копирование и выносносителей информации с персональными данными за пределы рабочих мест;

7) использование и обновление легальных антивирусных продуктов и программного обеспечения;

8) использование системавторизации при входе в личный кабинет;

9) установление персональных паролей и кодов доступа к каждой ЭВМ оператора, 10) ведение электронных журналов событий;

11) актирование факта уничтожения персональных данных.

27. Контроль за выполнением настоящих требований организуется и проводится оператором самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором.

28. Настоящее Положение вступает в силу с момента его утверждения генеральным директором организации-оператора и действует бессрочно до замены его новым Положением.

29. Все работники Организации должны быть ознакомлены с настоящим Положением под роспись.

30. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и поистечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии организации-оператора, если иное не определено законом.