Политика обработки персональных данных и реализуемых требований к защите персональных данных (политика конфиденциальности)

1. Общие положения

Данный документ устанавливает политику обработки персональных данных и реализуемых требований к защите персональных данных (далее «политика») ООО «ДЕЛАЕМ НОВОСТИ» (ОГРН 1222600001084. ИНН 2634109668. Адрес: 355004, Ставропольский край, г Ставрополь, Рябиновый проезд, д. 62) (далее «Общество»), согласно ФЗ "О персональных данных" от 27.07.2006 № 152-ФЗ.

2. Принципы обработки персональных данных
   1. Принцип законности
      1. Оператор персональных данных обязан следить за обработкой и обеспечивать обработку данных с соблюдением требований закона.
      2. Персональные данные обрабатываются в законных и определенных целях и не могут быть использованы в других целях без согласия субъекта данных.
   2. Принцип соразмерности
      1. Обработка данных должна преследовать законную цель, методы ее достижения должны быть приемлемыми, необходимыми и соразмерными.
      2. Оператор персональных данных обязан обрабатывать персональные данные в том минимальном количестве, которое необходимо для достижения законных целей.
      3. Запрещается обработка таких персональных данных, которые не являются необходимыми для цели обработки данных или несовместимы с ней.
      4.  Запрещается обработка персональных данных, если цель обработки данных может быть достигнута способом обезличивания.
      5. Персональные данные должны храниться таким образом, чтобы исключить их идентификацию с субъектом данных на более длительный срок, чем это необходимо для достижения заранее определенных целей
   3. Принцип достоверности
      1. Обрабатываемые персональные данные должны быть полными, точными, ясными и по возможности обновленными.
   4. Принцип минимального вовлечения субъектов
      1. Обработка персональных данных осуществляется по принципу минимального вовлечения субъектов.
      2. В случае, когда орган государственного управления или местного самоуправления, нотариус могут получить персональные данные от другого органа через единую электронную информационную систему, то представления необходимых для определенных действий персональных данных от субъекта персональных данных не требуется.
      3. В случае письменного согласия субъекта персональных данных физические или юридические лица, считающиеся операторами персональных данных, могут получать от органов государственного управления или местного самоуправления персональные данные, необходимые для определенного действия и непосредственно указанные субъектом персональных данных в письменном согласии.

Порядок передачи персональных данных по электронной информационной системе устанавливается Правительством РФ.

3. Правовые основы обработки персональных данных
   1. ФЗ "О персональных данных" от 27.07.2006 № 152-ФЗ;
   2. Трудовой кодекс Российской Федерации.
4. Цели обработки персональных данных
   1. Общество собирает, хранит и обрабатывает только те персональные данные, которые необходимы для предоставления услуг и выполнения своей деятельности, также для обеспечения прав и законных интересов третьих лиц, обеспечивая, чтобы права субъекта персональных данных не были нарушены.
   2. Общество может обрабатывать персональные данные субъекта персональных данный в следующих целях:
      1. для идентификации субъекта персональных данных;
      2. при необходимости для установления связи с субъектом персональных данных, в том числе для отправки уведомлений, связанных с предоставлением услуг, запросов и информации, также для обработки запросов и заявлений от субъектов персональных данных;
      3. для выполнения статистических и других исследований на основании персональных данных;

Общество не обрабатывает особые категории персональных данных, связанных с расовой, национальной принадлежностью, религиозными убеждениями, состоянием здоровья, также биометрические персональные данные.

5. Содержание персональных данных

1. Персональные данные субъекта персональных данных — сотрудника Общества: требуемая Обществом информация, связанная с регистрацией, изменением, прекращением трудовых отношений.
2. Персональные данные субъекта — персональные данные контрагента по гражданскому-правовому договору — требуемая Обществом информация, связанная с выполнением, изменением, расторжением договора гражданского права с субъектом персональных данных.
3. Персональные данные субъекта персональных данных — клиента Общества — информация, которая необходима Обществу для выполнения обязательств в рамках договорных отношений с субъектом персональных данных (клиент Общества) и для выполнения требований законодательства РФ в сфере защиты персональных данных.

6. Обработка персональных данных

1. Обработка персональных данных Общества, персональных данных субъектов производится в соответствии с законодательством РФ, для этого, с целью обеспечения персональной безопасности субъектов проводят переподготовку работников Общества, то есть субъектов персональных данных.
2. Обработка персональных данных производится с согласия субъектов персональных данных со стороны Общества, как с использованием автоматических инструментов, так и без использования таковых.
3. Общество без письменного согласия субъекта персональных данных не предоставляет или раскрывает третьим лицам информацию, содержащую персональные данные субъектов персональных данных, за исключением тех случаев, когда это крайне необходимо: для предотвращения угрожающей жизни и здоровью опасности, а также в случаях, установленных действующим законодательством РФ в сфере защиты персональных данных.
4. Обоснованным требованием уполномоченного лица, и исключительно в рамках применения действующего законодательства, персональные данные субъектов могут передаваться без его согласия, в случаях установленных регулирующими правовыми актами: в судебные органы, связанные с реализацией правосудия, в органы службы безопасности, прокуратуру, органы полиции, в другие органы и организации.
5. При получении согласия от представителя субъекта персональных данных для обработки персональных данных полномочия представителя на выдачу согласия от имени субъекта персональных данных проверяются Обществом.
6. Если субъект персональных данных отказывается от обработки персональных данных, Общество имеет право продолжить обработку персональных данных без согласия субъекта, если есть основания, предусмотренные законодательством РФ.
7. Представленные требования обеспечения безопасности в информационных системах обработки персональных данных, требования,  предъявляемые к материальным носителям биометрических персональных данных и технологиям хранения этих  персональных данных вне информационных систем, устанавливаются решением правительства РФ.
8. Неполноценные, неточные, устаревшие, незаконно полученные или в случае ненужных для достижения цели обработки данных, оператор  персональных данных обязан произвести необходимые действия для их обобщения, обновления, исправления или уничтожения. В случае обнаружения незаконных действий, произведенных с персональными данными, оператор обязан немедленно, но не позднее, чем в течение трех рабочих дней, устранить допущенные нарушения. При невозможности устранения нарушений, оператор обязан немедленно уничтожить персональные данные. Об устранении нарушений или уничтожении персональных данных оператор обязан в течение трех рабочих дней проинформировать субъекта или его представителя, а в том случае, когда запрос получен от уполномоченного органа защиты персональных данных, также и этот орган.

7. Набор персональных данных посредством интернета

1. Общество набирает разные категории персональных данных субъектов индивидуальных данных, пользуясь информационными системами, включая официальные сайты Общества.
2. Общество набирает информацию посредством Сайтов, а также мобильных приложений следующим образом:
   1. набор персональных данных, который вводится в поля данных Сайтов их пользователями или от их имени, но со стороны других лиц.
   2. сбор информации о местоположении приборов пользователей мобильных приложений Общества.
   3. сбор IP-адресов пользователей.
3. Общество может использовать услуги интернета третьих лиц (технологии третьей стороны) для организации набора. Общество не несет ответственность за локализацию серверов услуг интернета со стороны третьих лиц. В то же время, выложенные на сайтах и использованные Обществом интернет услуги третьих лиц (технологии третьих лиц) могут быть использованы в процессе сбора информации посредством сайтов, а также в рекламных сайтах. Порядок использования таких собранных данных решается самостоятельно, со стороны услуг интернета третьих лиц, которые напрямую ответственны за соответствие этой процедуры и за использование их данных.

8. Конфиденциальность персональных данных

1. Операторы персональных данных, другие лица, установленные законом ФЗ "О персональных данных" от 27.07.2006 № 152-ФЗ, обязаны сохранить конфиденциальность персональных данных, как во время выполнения служебных или рабочих обязанностей, относящихся к обработке персональных данных, так и после их завершения.
2. Лица, получившие доступ к обработанным персональным данным, подписывают письменное обязательство о неразглашении полученной секретной информации, предупреждаются о всевозможной дисциплинарной, административной, политической и уголовной ответственности в случаях нарушения требований и норм действующего законодательства РФ в сфере защиты персональных данных.
3. Лица, получившие доступ к обработанным персональным данным, не имеют права передавать третьим лицам персональные данные, без письменного согласия субъекта, за исключением тех случаев, когда это необходимо для предотвращения опасности или угрозы.
4. Лица, получившие доступ к персональным данным, обязуются не опубликовывать персональные данных в целях торговли, без письменного согласия субъекта. Обработка персональных данных субъекта персональных данных с целью продвижения на рынке товаров, работ, услуг, посредством выхода  на прямую связь с потенциальным потребителем, разрешается только при его предварительном согласии.
5. Права субъектов персональных данных
   1. Субъект персональных данных имеет право получать информацию, касающуюся обработки своих персональных данных, включая подтверждение факта обработки персональных данных Обществом;
   2. Правовые основания и цели обработки персональных данных;
   3. Применимые Обществом цели и методы обработки персональных данных;
   4. Наименование и место нахождения Общества, сведения о лицах (за исключением сотрудников Общества), которые имеют доступ к персональным данным или чьи персональные данные могут быть раскрыты на основании соглашения с Обществом или на основании законодательства РА;
   5. Обработанные персональные данные, относящиеся к соответствующему предмету персональных данных, источнику их получения, если иной порядок представления таких данных не предусмотрен законодательством РА.
   6. Условия обработки персональных данных, включая условия их хранения;
   7. Информация об осуществленной или предлагаемой трансграничной передаче данных;
   8. Имя или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных от имени Общества, если обработка доверена или будет доверена такому лицу;
   9. Субъект данных имеет право получать информацию о своих персональных данных, обработке данных, основаниях и целях обработки, операторе данных, о месте его нахождения, а также о круге лиц, которым могут быть переданы персональные данные.
   10. Субъект данных имеет право ознакомляться со своими персональными данными, требовать от оператора исправления или уничтожения своих персональных данных, если персональные данные являются неполными или неточными, или устаревшими, или получены незаконным путем, или не являются необходимыми для достижения целей обработки.
   11. В случае подозрений относительно исправления, блокировки или уничтожения оператором персональных данных субъект данных имеет право обратиться в уполномоченный орган по защите персональных данных с требованием о выяснении факта исправления, блокировки или уничтожения своих персональных данных и о предъявлении ему сведений.
   12. Сведения о персональных данных должны быть предоставлены оператором субъекту данных в доступной форме и не должны содержать персональные сведения о другом субъекте данных.
   13. Персональные данные предоставляются субъекту данных на основании письменного запроса субъекта данных или его представителя, выступающего по доверенности, или законного представителя. Запрос может быть направлен в электронной форме с подтвержденной электронной цифровой подписью.
   14. Субъект данных имеет право получать информацию об обработке своих персональных данных, в том числе:
       1. о подтверждении факта обработки и цели обработки персональных данных;
       2. о способах обработки персональных данных;
       3. о тех субъектах, которым предоставлены или могут предоставляться персональные данные;
       4. о перечне обрабатываемых персональных данных и об источниках их получения;
       5. о сроках обработки персональных данных;
       6. о возможных правовых последствиях, возникающих для субъекта данных вследствие обработки персональных данных.
       7. Сведения предоставляются субъекту данных бесплатно, если законом не предусмотрено иное.
6. Меры по обеспечению безопасности обработки персональных данных
   1. Оператор обязан уничтожать или блокировать те персональные данные, которые не являются необходимым для достижения законной цели.
   2. Оператор при обработке персональных данных обязан использовать шифровальные средства для обеспечения защиты информационных систем, содержащих персональные данные, от случайной потери, незаконного проникновения в информационные системы, незаконного использования, записи, уничтожения, преобразования, блокирования, копирования, распространения персональных данных и другого вмешательства.
   3. Оператор обязан предотвращать доступ к соответствующим технологиям обработки персональных данных лиц, не имеющих на это право, и обеспечивать, чтобы законному пользователю этих систем были доступны только подлежащие их обработке данные и те данные, которыми разрешается пользоваться.
   4. Требования, предъявляемые к обеспечению безопасности обработки персональных данных в информационных системах, требования, предъявляемые к материальным носителям биометрических персональных данных и технологиям хранения таких персональных данных вне информационных систем, устанавливаются постановлением Правительства РФ.
   5. В случае установления законом другого осуществляющего надзор органа, этот орган в пределах отведенных ему полномочий может устанавливать более высокие требования, чем предусмотренные частью 4 настоящей статьи требования, установленные постановлением Правительства РФ.
   6. Использование и хранение биометрических персональных данных вне информационных систем могут осуществляться только на таких материальных носителях, с применением таких технологий или такими способами, которые обеспечивают защиту этих данных от незаконного в них проникновения, незаконного использования, уничтожения, преобразования, блокирования, копирования, распространения персональных данных и прочего.
   7. Операторы персональных данных или другие предусмотренные настоящим Законом лица обязаны обеспечивать конфиденциальность персональных данных как в процессе исполнения служебных или трудовых обязанностей, связанных с обработкой персональных данных, так и после его завершения.
   8. Надзор за выполнением требований настоящей статьи осуществляет уполномоченный орган по защите персональных данных — без права на обработку персональных данных, обрабатываемых в информационных системах.
   9. Юридические лица, обрабатывающие персональные данные, могут обращаться в уполномоченный орган по защите персональных данных в целях признания наличия достаточного уровня защиты и включения в реестр электронной системы обработки персональных данных, находящейся в их распоряжении.