Политика в отношении организации обработкии обеспечения безопасности персональных данных

 

УТВЕРЖДЕНА

приказом

ООО «СКИЛЛ-Ю»

№ 2 от «17» июля 2019 г.

 

 

 

 Политика в отношении организации обработки

и обеспечения безопасности персональных данных

 

1. Общие положения

  • В целях выполнения норм действующего законодательства Российской Федерации в полном объеме Общество с ограниченной ответственностью «СКИЛЛ-Ю» (далее – Оператор) считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
  • Настоящая политика Оператора в отношении организации обработки и обеспечения безопасности персональных данных (далее – Политика) характеризуется следующими признаками:
    • разработана в целях реализации требований действующего законодательства Российской Федерации в области обработки и защиты персональных данных;
    • раскрывает способы и принципы обработки Оператором персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке;
    • является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке и защите персональных данных.
  • Оператор своевременно направляет в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных и о возникающих изменениях сведений, указанных в уведомлении.

2. Правовые основания обработки персональных данных

  • Политика разработана в соответствии с действующим законодательством Российской Федерации в области обработки и защиты персональных данных.
  • Во исполнение Политики руководителем Оператора приняты необходимые меры в соответствии с законодательством РФ, а также могут быть разработаны иные локальные акты Оператора в сфере обработки и защиты персональных данных.

3. Принципы, цели, содержание и способы обработки персональных данных

  • Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
  • Оператор осуществляет сбор и дальнейшую обработку персональных данных в следующих целях:
    • обеспечения функционирования интернет сайта Оператора https://skillyou.ru/ в том числе рассылка сообщений информационного и рекламного характера на электронный адрес субъекта персональных данных;
    • осуществление договорной деятельности в рамках возникновения, изменения и прекращения правоотношений между Оператором и его партнерами, клиентами и прочими контрагентами – как физическими, так и юридическими лицами;
    • осуществление Оператором взаимных расчетов с контрагентами,
    • рассмотрение и учет обращений (запросов, предложений, комментариев, претензий, благодарностей), поступающих Оператору от контрагентов (клиентов) и иных лиц, а также осуществление информационного обслуживания указанных лиц,
    • участие в тендерах (аукционах и конкурсах, а также в иных процедурах, предусмотренных действующим законодательством) и подготовка необходимых для участия в тендерах документов;
    • предложение Оператором своих услуг действительным и потенциальным контрагентам (клиентам), а также участие в процедурах закупок указанных лиц и ведение Оператором деловых переговоров с указанными лицами,
    • участие в гражданском, арбитражном, уголовном, административном процессах, а также исполнение Оператором судебных актов,
    • регистрация корреспонденции,
    • организация и осуществление независимой проверки бухгалтерской (финансовой) отчетности Оператора в целях выражения мнения о достоверности такой отчетности;
    • организация и осуществление выплаты сотрудникам заработной платы;
    • облегчения коммуникаций с клиентами и контрагентами Оператора.
  • Оператор установил следующие условия прекращения обработки персональных данных:
    • достижение целей обработки персональных данных и максимальных сроков хранения;
    • утрата необходимости в достижении целей обработки персональных данных;
    • предоставление субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
    • невозможность обеспечения правомерности обработки персональных данных;
    • отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных;
    • истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных.
  • Обработка персональных данных Оператором включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
  • Оператор не осуществляет трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.
  • Оператором не принимаются решения, порождающее юридические последствия в отношении субъектов персональных данных или иным образом затрагивающее их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
  • Оператор осуществляет обработку персональных данных с использованием средств автоматизации и без использования средств автоматизации.
  • При сборе персональных данных Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, прямо предусмотренных действующим законодательством Российской Федерации о персональных данных.

4. Меры по надлежащей организации обработки и обеспечению безопасности персональных данных

  • Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
    • назначением ответственного лица за организацию обработки персональных данных;
    • осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, требованиями к защите персональных данных, локальными актами Оператора;
    • ознакомлением сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных и (или) обучением указанных сотрудников;
    • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
    • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
    • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
    • учетом машинных носителей персональных данных;
    • выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
    • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
    • установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
    • контролем над принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
  • Обязанности сотрудников Оператора, осуществляющих обработку и защиту персональных данных, а также их ответственность, определяются в соответствии с законодательством РФ.

5. Лицо, ответственное за организацию обработки персональных данных

  • Права, обязанности и юридическая ответственность лица, ответственного за организацию обработки персональных данных, установлены Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и «Положением об организации обработки и обеспечении безопасности персональных данных».
  • Назначение лица, ответственного за организацию обработки персональных данных, и освобождение от указанных обязанностей осуществляется руководителем Оператора. При назначении лица, ответственного за организацию обработки персональных данных, учитываются полномочия, компетенции и личностные качества должностного лица, призванные позволить ему надлежащим образом и в полном объеме реализовывать свои права и выполнять обязанности, предусмотренные «Положением об организации обработки и обеспечении безопасности персональных данных».
  • Лицо, ответственное за организацию обработки персональных данных:
    • организует осуществление внутреннего контроля над соблюдением Оператором и его сотрудниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
    • доводит до сведения сотрудников Оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных или обеспечивает доведение;
    • осуществляет контроль над приемом и обработкой обращений и запросов субъектов персональных данных или их представителей.

6. Права субъектов персональных данных

  • Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.
  • Субъект персональных данных вправе требовать от Оператора уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
  • Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
  • Для реализации и защиты своих прав и законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
  • Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
  • Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

7. Доступ к Политике

  • Действующая редакция Политики на бумажном носителе хранится в месте нахождения исполнительного органа Оператора.
  • Электронная версия действующей редакции Политики доступна по адресу в сети интернет https://skillyou.ru/info/legal22.

8. Актуализация и утверждение Политики

  • Политика утверждается и вводится в действие руководителем Оператора.
  • Оператор имеет право вносить изменения в Политику. При внесении изменений в заголовке Политики указывается дата утверждения действующей редакции Политики.
  • Политика пересматривается по мере необходимости, но не реже одного раза в три года с момента проведения предыдущего пересмотра Политики.
  • Политика заново утверждается, если по результатам пересмотра в Политику вносятся изменения.
  • Политика может пересматриваться и заново утверждаться ранее срока, указанного в п.8.2.1 Политики, по мере внесения изменений:
  • в нормативные правовые акты в сфере персональных данных;
  • в локальные нормативные и индивидуальные акты Оператора, регламентирующие организацию обработки и обеспечение безопасности персональных данных.

9. Ответственность

  • Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут ответственность, предусмотренную законодательством Российской Федерации, локальными актами Оператора и договорами, регламентирующими правоотношения Оператора с третьими лицами.