Положение об обработке и защите персональных данных

Термины и определения

конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

оператор — ООО «МПП», самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

субъект персональных данных — физическое лицо, прямо или косвенно определенное, или определяемое с использованием персональных данных.

1. Общие положения

1.1. Положение об обработке и защите персональных данных (далее — Положение) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры выявления и предотвращения нарушений законодательства Российской Федерации в области персональных данных в ООО «МПП» (далее — оператор).

1.2. Настоящее Положение определяет политику ООО «МПП» как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

1.3. Настоящее Положение разработано в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ, Федеральным законом от 27.07.2006 № 152-ФЗ, постановлением Правительства Российской Федерации от 01.11.2012 № 1119, постановлением Правительства Российской Федерации от 15.09.2008 № 687.

1.4. Обработка персональных данных осуществляется оператором с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных, а также настоящим Положением.

1.5. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

1.6. Работники ООО «МПП» и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации.

1.7. Работники оператора, должностные обязанности которых предусматривают обработку персональных данных, заключают обязательство о неразглашении персональных данных до момента фактического предоставления допуска к работе с персональными данными.

1.8. Оператор вправе передавать персональные данные субъектов персональных данных органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

1.9. Оператор не осуществляет трансграничную передачу персональных данных.

1.10. Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, оператором не осуществляется.

1.11. При отсутствии необходимости получения письменного согласия субъекта персональных данных на обработку его персональных данных согласие субъекта может быть дано субъектом персональных данных или его законным представителем в любой иной форме, которую возможно задокументировать.

1.12. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом № 152-ФЗ. Ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

1.13. Оператор допускает публикацию настоящего Положения в свободном доступе, размещая его (при создании) на своем официальном сайте в информационно-телекоммуникационной сети «Интернет».

1.14. Контроль за исполнением требований настоящего Положения осуществляется уполномоченным лицом оператора, ответственным за организацию обработки и защиту персональных данных.

2. Цели сбора персональных данных

2.1. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.2. Обработка персональных данных осуществляется оператором с целью:

• исполнения договорных обязательств по договорам (контрактам) с клиентами и контрагентами оператора;
• обеспечения соблюдения законов и иных нормативных правовых актов, организации работы в связи с договорными отношениями.

3. Правовые основания обработки персональных данных

3.1. Правовыми основаниями обработки персональных данных оператором являются:

• Федеральный закон от 01.04.1996 № 27-ФЗ;
• Федеральный закон от 06.04.2011 № 63-ФЗ;
• Федеральный закон от 22.10.2004 № 125-ФЗ;
• Федеральный закон от 31.05.1996 № 61-ФЗ;
• Федеральный закон от 26.02.1997 № 31-ФЗ;
• Федеральный закон от 29.12.2012 № 273-ФЗ;
• Закон Российской Федерации от 21.07.1993 № 5485-1;
• постановление Правительства Российской Федерации от 10.12.2013 № 1139;
• Устав оператора;
• договоры (контракты) с клиентами и контрагентами оператора;
• согласия субъектов персональных данных на обработку их персональных данных.

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

4.2. К категориям субъектов персональных данных, персональные данные которых обрабатываются оператором в соответствии с настоящим Положением, относятся:

• клиенты и контрагенты ООО «МПП» (физические лица);
• представители/работники клиентов и контрагентов оператора (юридических лиц).

4.3. Оператором обрабатываются следующие категории персональных данных:

• фамилия, имя, отчество (при наличии);
• номер контактного телефона или сведения о других способах связи;
• адрес электронной почты.

4.4. Оператором не осуществляется получение и обработка персональных данных субъектов персональных данных об их расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, интимной жизни.

5. Порядок и условия обработки персональных данных физических лиц, являющихся клиентами и контрагентами оператора, либо их представителями

5.1. Обработка персональных данных субъектов персональных данных, указанных в п. 4.2 настоящего Положения, включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

5.2. Действия, указанные в п. 5.1, осуществляются как с использованием средств автоматизации, так и без использования таких средств путем:

• получения оригиналов необходимых документов (договоры, контракты (как на бумажном носителе, так и в электронной форме), иные документы, предоставляемые в ходе исполнения договоров (контрактов), отправки заявок через mpprt.ru);
• внесения сведений, содержащих персональные данные, в информационные системы оператора;
• хранения сведений, содержащих персональные данные (на бумажных носителях);
• хранения сведений, содержащих персональные данные, в информационных системах оператора;
• блокирования, удаления, уничтожения персональных данных при получении соответствующего запроса от субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных в порядке и в соответствии с условиями, предусмотренными действующим законодательством Российской Федерации;
• передачи (распространения, предоставления, доступа) персональных данных при получении соответствующего запроса от субъекта персональных данных или его представителя либо уполномоченных органов в порядке и в соответствии с условиями, предусмотренными действующим законодательством Российской Федерации.

5.3. В случае получения оператором персональных данных от контрагента (клиента) на основании и в целях исполнения заключенного с ним договора (контракта), ответственность за правомерность предоставления и достоверность персональных данных, а также за получение согласия субъектов персональных данных на передачу их персональных данных оператору несет контрагент (клиент), передающий персональные данные, что закрепляется в тексте договора оператора с контрагентом (клиентом).

5.4. Оператор, получивший персональные данные от контрагента (клиента) — юридического лица, не принимает на себя обязательства по информированию субъектов персональных данных, персональные данные которых ему переданы, о начале обработки персональных данных, поскольку обязанность осуществить соответствующее информирование при заключении договора с субъектом персональных данных и/или при получении согласия на такую передачу несет передавший персональные данные контрагент (клиент). Данная обязанность контрагента (клиента) включается в договор, заключаемый с ним оператором.

5.5. Заключаемый между оператором и контрагентом (клиентом) договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.

5.6. Персональные данные лиц, подписавших договоры с оператором, содержащиеся в единых государственных реестрах юридических лиц и индивидуальных предпринимателей, являются открытыми и общедоступными. Обеспечение их конфиденциальности и согласие субъектов персональных данных на обработку таких данных не требуется.

5.7. Условием прекращения обработки персональных данных физических лиц, являющихся клиентами и контрагентами оператора либо их представителями, является:

• достижение целей обработки персональных данных (завершение действия договора (контракта) с контрагентом (клиентом) и истечение установленного номенклатурой дел оператора срока хранения соответствующих договоров (контрактов));
• истечение срока действия согласия субъекта персональных данных на обработку его персональных данных;
• отзыв согласия субъекта персональных данных на обработку его персональных данных;
• выявление неправомерной обработки персональных данных.

5.8. Сроки хранения персональных данных субъектов персональных данных, указанных в п. 4.2 настоящего Положения, определяются сроками хранения соответствующих договоров (контрактов), установленными номенклатурой дел оператора.