ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
(НА ОСНОВЕ ОБЩЕЙ ПОЛИТИКИ ПО ВОПРОСАМ КОНФИДЕНЦИАЛЬНОСТИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ)
(Создано в соответствии с Планом мероприятий по приведению документации ООО «Суперфуд Фарм» в соответствие с требованиями законодательства в области защиты персональных данных)
Россия, Московская область, город Дмитров
25 марта 2025 года
СОДЕРЖАНИЕ:
2. ОРГАНИЗАЦИЯ ПОЛУЧЕНИЯ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.. 5
3. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ 8
5. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ.. 11
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1 Настоящее Положение об обработке и защите персональных данных, разработанное и утверждённое на основе Общей политики по вопросам конфиденциальности и защиты персональных данных в ООО «Суперфуд Фарм» (далее – «Положение» и «Общество» соответственно) регулирует порядок получения, обработки, использования, хранения и обеспечения конфиденциальности персональных данных в Обществе на основании Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – «Закон № 152-ФЗ»), Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – «Закон № 149-ФЗ»), постановления Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», а также в соответствии с иными нормативно-правовыми и подзаконными актами Российской Федерации, регулирующими порядок обработки, хранения, использования и защиты персональных данных и информации, Уставом Общества, а также локальными актами, принятыми и утверждёнными в Обществе.
1.2 Основной задачей Общества в области защиты персональных данных является обеспечение в соответствии с законодательством РФ обработки персональных данных работников Общества, а также персональных данных, содержащихся в документах, полученных из других организаций, в обращениях граждан и иных субъектов персональных данных.
1.3 В настоящем Положении используются следующие термины и определения.
· Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
· Документированная информация — зафиксированная на материальном носителе путём документирования информации с реквизитами, позволяющими определить такую информацию или её материальный носитель.
· Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
· Информация — сведения (сообщения, данные), независимо от формы их представления.
· Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
· Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
· Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
· Оператор — юридическое лицо (Общество), самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с персональными данными.
· Персональные данные — любая информация, относящаяся к прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).
· Работник — физическое лицо, вступившее в трудовые отношения с ОУ.
· Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
· Субъект персональных данных Общества (далее – «субъекты») — носители персональных данных, в т.ч. работники Общества, физические лица-контрагенты Общества, потребители и заявители, вступившие в переписку с Обществом по любым вопросам его деятельности, их родители (законные представители) и иные физические лица, передавшие свои персональные данные Обществу на добровольной основе и (или) в рамках выполнения требований нормативно-правовых актов для их обработки.
· Съемные носители данных — материальные объекты или устройства с определёнными физическими свойствами, позволяющими использовать их для записи, хранения и считывания персональных данных.
· Типовая форма документа — документ, позволяющий упорядочить, типизировать и облегчить процессы подготовки документов.
· Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.4 Должностные лица Общества, в обязанности которых входит обработка персональных данных субъектов, обеспечивают каждому субъекту возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено федеральным законом.
1.5 Порядок обработки персональных данных в Обществе утверждается его генеральным директором. Все работники Общества должны быть ознакомлены под роспись с настоящим Положением в редакции, действующей на момент ознакомления.
2. ОРГАНИЗАЦИЯ ПОЛУЧЕНИЯ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1 Получение персональных данных осуществляется в соответствии с нормативными правовыми актами Российской Федерации, подзаконными нормативными и распорядительными документами министерств и ведомств, настоящим Положением, локальными актами Обществ в случае согласия субъектов на обработку их персональных данных.
2.2 Оператор персональных данных не вправе требовать от субъекта предоставления информации о его национальности и расовой принадлежности, политических и религиозных убеждениях и частной жизни.
2.3 Без согласия субъектов осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными самим субъектом персональных данных).
2.4 Обработка персональных данных должна ограничиваться достижением конкретных, заранее определённых и законных целей. Обработка, не совместимая с целями сбора персональных данных, не допускается.
2.5 При обработке персональных данных должны быть обеспечены точность и определённость персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных, недостоверных или неточных персональных данных.
2.6 В случае увольнения субъекта оператор обязан незамедлительно прекратить обработку его персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий 30 (тридцати) рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено законодательством Российской Федерации либо договором с субъектом персональных данных.
2.7 Персональные данные хранятся в бумажном и (или) в электронном виде централизованно, с соблюдением предусмотренных нормативными правовыми актами Российской Федерации мер по защите персональных данных.
2.8 Оператор назначает лицо, ответственное за организацию обработки персональных данных.
2.9 Право на обработку персональных данных предоставляется работникам Общества, которые обязаны сохранять их конфиденциальность.
2.10 Персональные данные при их неавтоматизированной обработке обособляются от иной информации, в частности, путём фиксации их на отдельных материальных (бумажном или электронном) носителях персональных данных (далее – «материальные носители»), в специальных разделах или на полях форм (бланков).
2.11 При фиксации персональных данных на материальных носителях не допускается размещение на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.
2.12 Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, используются отдельные материальные носители для каждой категории персональных данных.
2.13 Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе, работники Общества или лица, осуществляющие такую обработку по договору с Обществом, информируются руководителями:
· о факте обработки ими персональных данных;
· о категориях обрабатываемых ими персональных данных;
· об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными актами Общества.
2.14 При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – «типовая форма»), должны соблюдаться следующие условия:
· типовая форма документа в обязательном порядке должна содержать: сведения о цели сбора и обработки персональных данных, осуществляемой без использования средств автоматизации; наименование Общества; адрес Общества; фамилию, имя, отчество и адрес субъекта персональных данных; источник получения персональных данных; сроки обработки персональных данных; перечень действий с персональными данными, которые будут совершаться в процессе их обработки; общее описание используемых Обществом способов обработки персональных данных;
· при необходимости получения письменного согласия на обработку персональных данных типовая форма предусматривает поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации;
· типовая форма составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, не нарушая прав и законных интересов иных субъектов персональных данных.
2.15 При ведении журналов (журналы регистрации обращений, журналы посещений и др.), содержащих персональные данные субъектов, следует учитывать, во-первых, что необходимость их ведения предусмотрена федеральными законами и локальными актами Общества, содержащими сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способах их фиксации и о составе информации, запрашиваемой у субъектов персональных данных, о перечне лиц (поимённо или по должностям), имеющих доступ к материальные носителям и ответственных за ведение и сохранность таких журналов, о сроках обработки таких персональных данных, и во-вторых, что копирование содержащейся в них информации не допускается.
2.16 Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, на котором они зафиксированы, производится способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, зачеркивание, стирание).
2.17 Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путём обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя — путём фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путём изготовления нового материального носителя с уточнёнными персональными данными.
2.18 Если персональные данные субъекта можно получить исключительно у третьей стороны, то субъект должен быть уведомлён об этом заранее и от него необходимо получить письменное согласие. Общество должно сообщить субъекту о целях, предполагаемых источниках и способах получения его персональных данных, а также о характере подлежащих получению персональных данных и о последствиях отказа субъекта представить письменное согласие на их получение.
3. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
3.1 При обработке персональных данных в отношении каждой категории персональных данных определяются места хранения, а также устанавливается перечень лиц, осуществляющих их обработку либо имеющих к ним доступ (как с использованием средств автоматизации, так и без них).
3.2 Оператором обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
3.3 Комплекс мер по защите персональных данных направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивает безопасность информации в процессе управленческой и производственной деятельности Общества.
3.4 Порядок конкретных мероприятий по защите персональных данных с использованием средств автоматизации или без использования таких средств определяется приказами и распоряжениями генерального директора Общества и (или) иными локальными нормативными актами, принятыми и утверждёнными в Обществе.
4. ПРАВА, ОБЯЗАННОСТИ И ОТВЕТСТВЕННОСТЬ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ И ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1 В целях обеспечения защиты своих персональных данных субъект персональных данных в соответствии с Законом № 152-ФЗ за исключением случаев, предусмотренных данным Федеральным законом, имеет право:
· на получение сведений об операторе, о месте его нахождения, наличии у него персональных данных, относящихся к нему (т.е. к субъекту персональных данных), а также на ознакомление с такими данными;
· на требование от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
· на получение от оператора при обращении или запросе достоверной и полной информации, касающейся обработки его персональных данных.
4.2 Оператор обязан:
· безвозмездно предоставлять субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных;
· по первому требованию, своевременно вносить в персональные данные субъекта необходимые изменения и уточнения;
· уничтожать или блокировать соответствующие персональные данные при предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели их обработки;
· уведомлять субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы, о внесённых изменениях и предпринятых мерах;
· в случае выявления неправомерной обработки персональных данных, оператор в срок, не превышающий трёх рабочих дней с даты выявления этого обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора;
· в случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение;
· уведомлять субъекта персональных данных или его законного представителя об устранении допущенных нарушений или об уничтожении персональных данных;
· в случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки, и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договоров, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством РФ.
· уведомить субъекта персональных данных об уничтожении его персональных данных.
4.3 Оператор не вправе без письменного согласия субъекта персональных данных передавать обрабатываемые персональные данные третьим лицам, за исключением случаев, предусмотренных законодательством РФ.
4.4 Ответственность за соблюдение требований законодательства РФ при обработке и использовании персональных данных возлагается на конкретных должностных лиц, обрабатывающих персональные данные, в приказе об утверждении настоящего Положения и в других соответствующих приказал.
5. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
5.1 Настоящее Положение может быть изменено и дополнено согласно требованиям времени и развития Общества. Изменения в настоящее Положение вносятся согласно установленному в Обществе порядку.
5.2 Право инициативы о внесении изменений в настоящее Положение имеют: генеральный директор Общества; должностное лицо, ответственное в Обществе за обработку и защиту персональных данных; должностное лицо, ответственное в Обществе за обеспечение информационной безопасности, а также любой из членов Комиссии по приведению деятельности Общества в соответствие с требованиями законодательства Российской Федерации о защите персональных данных.