Политика конфиденциальности - Светлана Виноградова - ваш юрист
ПОЛИТИКА юридической компании «А-Я Юрист» в отношении обработки персональных данных
1. Термины и определения В настоящей Политике в отношении обработки персональных данных (далее – Политика) используются следующие термины и определения: 1.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). К субъектам персональных данных могут быть отнесены, в том числе: • Работники юридической компании А-Я Юрист , бывшие работники , кандидаты на замещение вакантных должностей в А-Я Юрист , а также родственники работников • заказчики и контрагенты и их представители. 1.2. Оператор – юридическая компания А-Я Юрист, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. 1.3.Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без использования таких средств. К таким действиям (операциям) относятся: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. 1.4. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники. 1.5. Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта. 1.6. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). 1.7. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. 1.8. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. 1.9. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц. 1.10. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. 2. Общие положения 2.1. Юридическая компания А-Я Юрист в рамках выполнения своей деятельности осуществляет обработку персональных данных и является оператором персональных данных. 2.2. Политика разработана в соответствии с требованиями законодательства Российской Федерации в сфере защиты персональных данных, в том числе Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»).2.3. Политика определяет общие принципы, цели, способы и порядок обработки персональных данных (далее – ПД) в Обществе, а также меры по обеспечению безопасности при их обработке.2.4. Политика подлежит актуализации в случае изменения законодательства Российской Федерации в сфере ПД, а также в случае изменения процессов обработки ПД и применяемых мер защиты ПД в Обществе.2.5. Правовым основанием обработки персональных данных является совокупность правовых актов (в том числе согласие работникаОбщества на обработку, хранение и передачу его персональных данных третьей стороне и согласие субъекта персональных данных на обработку его персональных данных, а также договоры, заключаемые между Обществом и субъектами персональных данных), во исполнение которых и в соответствии с которыми Оператор осуществляет обработку ПД. 3. Принципы обработки персональных данных 3.1. Обработка ПД осуществляется Обществом на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей. 3.2. Не допускается обработка ПД, несовместимая с целями их сбора, объединение баз данных, содержащих Пд, обработка которых осуществляется в целях, несовместимых между собой. 3.3. Обработке подлежат только ПД, которые отвечают целям их обработки, определенным и заявленным при сборе ПД, а также полномочиям Общества. 3.4. Содержание и объём обрабатываемых Обществом ПД соответствуют заявленным целям обработки, избыточность обрабатываемых данных не допускается. 3.5. При обработке ПД обеспечивается точность ПД, их достаточность и в необходимых случаях актуальность по отношению к целям обработки ПД. 3.6. В Обществе принимаются необходимые меры по удалению или уточнению неполных, или неточных ПД. 3.7. Хранение ПД осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. 3.8. Обрабатываемые персональные данные подлежат уничтожению или обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. 3.9. В Обществе допускается обработка ПД, полученных из общедоступных источников ПД или сделанных общедоступными с письменного согласия субъекта персональных данных. 3.10. Обработка специальных категорий персональных данных в Обществе не осуществляется. 3.11. Общество осуществляет передачу ПД субъектов персональных данных третьим лицам в соответствии с требованиями законодательства Российской Федерации в сфере обработки и защиты персональных данных. 3.12. Общество вправе поручить обработку персональных данных другим лицам в соответствии со статьей 6 Федерального закона «О персональных данных». 3.13. В случаях поручения обработки ПД другому лицу, Общество заключает договор с этим лицом и получает согласие от субъектов персональных данных, если иное не предусмотрено Федеральным законом «О персональных данных». Лицо, осуществляющее обработку ПД по поручению Общества, обязано соблюдать принципы и правила обработки ПД, предусмотренные Федеральным законом «О персональных данных». 3.14. В случаях, когда Общество поручает обработку ПД другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Общество. Лицо, осуществляющее обработку ПД по поручению Общества, несет ответственность перед Компанией. 3.15. В Обществе может осуществляться как автоматизированная обработка ПД (обработка персональных данных с помощью средств автоматизации), так и неавтоматизированная обработка П (обработка персональных данных без использования средств автоматизации – обработка ПД, при которой действия с ПД осуществляются при непосредственном участии человека). 3.16. Сроки обработки (в том числе хранения) ПД, обрабатываемых Обществом, определяются исходя из целей обработки персональных данных и в соответствии с требованиями законодательства Российской Федерации. 4. Цели обработки персональных данных 4.1. В Обществе обрабатываются ПД субъектов персональных данных, в целях выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей. 5. Права субъектов персональных данных 5.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его ПД, в том числе содержащей: • подтверждение факта обработки ПД Компании; • правовые основания и цели обработки ПД; • цели и применяемые Обществом способы обработки ПД • наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Обществом или на основании Федерального закона «О персональных данных»; • обрабатываемые ПД, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом «О персональных данных»; • сроки обработки ПД, в том числе сроки их хранения; • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»; • информацию об осуществленной или о предполагаемой трансграничной передаче данных; • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Общества, если обработка поручена или будет поручена такому лицу; • иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами. 5.2. Субъект персональных данных вправе требовать от юридической компании А-Я Юрист уточнения его ПД, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. 5.3. Субъект персональных данных имеет право на отзыв согласия на обработку ПДн, в случае если согласие было дано Обществу. 5.4. Право доступа субъекта персональных данных к своим персональным данным может быть ограничено в соответствии с законодательством Российской Федерации. 5.5. Субъект персональных данных обладает также иными правами, предусмотренными законодательством Российской Федерации. 6. Обязанности Компании 6.1. При обработке ПД юридическая компания А-Я Юрист обязано: 6.1.1. Предоставить субъекту персональных данных по его просьбе следующую информацию: • подтверждение факта обработки ПД • правовые основания и цели обработки ПД; • применяемые Компанией способы обработки ПД; • наименование и местонахождение компании; • сведения о лицах (за исключением работников компании), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с компании, на основании Федерального закона «О персональных данных» или иных законных основаниях; • обрабатываемые ПД, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом «О персональных данных»; • сроки обработки ПД, в том числе сроки их хранения; • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»; • информацию об осуществленной или о предполагаемой трансграничной передаче ПД; • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Общества, если обработка поручена или будет поручена такому лицу; • иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами. 6.1.2. Разъяснить субъекту персональных данных юридические последствия его отказа предоставить Компании ПД, если предоставление ПД является обязательным в соответствии с Федеральным законом «О персональных данных». 6.1.3. Обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД с использованием баз данных, находящихся на территории РФ. 6.1.4. Предоставить субъекту персональных данных (если ПД получены не от субъекта персональных данных, до начала обработки таких ПД) следующую информацию (за исключением случаев, предусмотренных Политикой): • наименование и адрес Общества или его представителя; • цель обработки ПД и ее правовое основание; • предполагаемых пользователей ПД; • установленные Федеральным законом «О персональных данных» права субъекта персональных данных; • источник получения ПД. 6.2. Общество освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные п. 6.1.4. Политики, в случаях если: • субъект персональных данных уведомлен об осуществлении обработки его ПД компании; • ПДн получены Обществом на основании Федерального закона «О персональных данных» или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных; • ПДн сделаны общедоступными субъектом персональных данных или получены из общедоступного источника. 6.3. Общество обязано не раскрывать третьим лицам и не распространять ПД без согласия субъекта персональных данных за исключением случаев, предусмотренных законодательством Российской Федерации. 6.4. Общество обязано опубликовать или иным образом обеспечить неограниченный доступ к Политике. 7. Порядок обработки персональных данных 7.1 Обработка ПД в компании производится работниками Общества. В соответствии законодательством Российской Федерации Общество вправе передать свои полномочия по обработке ПД другой организации. 7.2. Обработка ПД в компании включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД. 7.3. Обработка ПД субъектов персональных данных осуществляется как на бумажных носителях, так и с использованием средств автоматизации (с помощью средств вычислительной техники) путем: • получения оригиналов необходимых документов; • копирования оригиналов документов; • внесения сведений в учетные формы на бумажных и электронных носителях; • внесения ПДн в базы данных и информационные системы Общества. 7.4. Сбор, запись, систематизация, накопление (обновление, изменение) ПД осуществляется путем получения ПД непосредственно от субъектов персональных данных. 7.5. Обращения субъектов персональных данных (и их представителей) рассматриваются в Обществе в соответствии с законодательством Российской Федерации и принятыми в соответствие с ним локальными нормативными актами компании. 7.6. При передаче персональных данных субъекта персональных данных, работники Общества, осуществляющие обработку ПД, должны соблюдать следующие требования: • не сообщать ПД субъекта персональных данных третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных законодательством Российской Федерации; • не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия; • предупредить лиц, получающих ПД субъекта персональных данных о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что правило соблюдено. Лица, получающие ПД субъекта персональных данных, обязаны соблюдать режим конфиденциальности; • разрешать доступ к ПД субъекта персональных данных только лицам, определенным приказом Обществом, при этом указанные лица должны иметь право получать только те ПД, которые необходимы для выполнения конкретных своих функций; • не запрашивать информацию о состоянии здоровья субъекта персональных данных; • передавать ПД субъекта персональных данных представителям субъекта персональных данных в порядке, установленном законодательством Российской Федерации, и ограничить эту информацию только теми ПДн субъекта персональных данных, которые необходимы для выполнения указанными представителями их функций. 7.7. По достижении цели обработки ПД обработка ПД в Обществе прекращается и эти ПД уничтожаются. 7.8. В случае отзыва субъектом персональных данных своего согласия на обработку ПД и в случае, если сохранение ПД более не требуется для целей обработки ПД, Компания прекращает их обработку и уничтожает ПД или обеспечивает их уничтожение (если обработка ПД осуществляется другим лицом, действующим по поручению Компании) в срок, не превышающий тридцати дней с даты, поступления отзыва. 7.9. По запросу субъекта персональных данных или его представителя компании сообщается информация о наличии ПД, относящихся к субъекту. По запросу субъекта персональных данных или его представителя Общество знакомит субъекта персональных данных или его представителя с этими ПД в течение тридцати дней с даты, получения запроса. 7.10. Хранение и защита ПД, как на бумажных, так и на электронных носителях информации, осуществляется в порядке, исключающем их утрату или их неправомерное использование, приведенном в Положении об обработке ПД компании. 7.11. Не допускается отвечать на вопросы, связанные с передачей ПД по телефону, факсу, электронной почте, за исключением случаев, описанных в Положении об обработке ПД Компании. 8. Меры по обеспечению безопасности персональных данных, принимаемые компанией. 8.1. Общество при обработке ПД принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД. 8.2. В Обществе приняты следующие меры безопасности: • назначено лицо, ответственное за организацию обработки ПД; • изданы локальные нормативные акты Компании по вопросам обработки ПД; • используется необходимый и достаточный перечень средств защиты информации для защиты ПД, причем в качестве средств защиты информации используются средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации; • проводится внутренний контроль соблюдения законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных; • работники Компании ознакомлены с положениями законодательства Российской Федерации о персональных данных, локальными нормативными актами компании по вопросам обработки ПД, требованиями к защите персональных данных.
Форма записи на консультацию