Политика конфиденциальности

Политика в отношении обработки и защиты персональных данных в ООО «ГАЛАТЕЯ»

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1 Назначение и область действия документа:

Настоящая «Политика в отношении обработки и защиты персональных данных в ООО «Галатея» (далее – Политика) разработана в соответствии с требованиями пункта 2 части 1 и части 2 статьи 18.1 Федерального закона от 27.06.2006 №152-ФЗ «О персональных данных» (далее – ФЗ-152) и определят основные цели, задачи и общие принципы обеспечения надлежащей обработки персональных данных в ООО «Галатея».  

Данная Политика распространяется в рамках действия ООО «Галатея» и на все контрактные предприятия-партнеры в области основного вида деятельности и обязательна для исполнения всеми лицами, непосредственно осуществляющими обработку персональных данных.

Настоящая Политика пересматривается не реже одного раза в год или при внесении изменений в законодательство по обработке и защите персональных данных.

Все персональные данные в ООО «Галатея», за исключением обезличенных и сделанных общедоступными субъектами персональных данных, признаются информацией ограниченного доступа. Необходимость соблюдения конфиденциальности такой информации определена требованиями ФЗ-152.

Данная Политика подлежит размещению на веб-сайте, принадлежащем ООО «Галатея» https://yunstyle.ru

В настоящей Политике используются термины и определения, приведенные в статье 3 ФЗ-152.

2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

При обработке персональных данных должностные лица ООО «Галатея» руководствуются следующими принципами:

Вовлеченность высшего руководства ООО «Галатея» в процесс обеспечения законности обработки и обеспечения безопасности персональных данных.

Деятельность по обработке и обеспечению безопасности персональных данных поддерживается и контролируются руководством ООО «Галатея». Координация деятельности по обеспечению обработки и информационной безопасности персональных данных осуществляется ООО «Галатея».

Законность обработки персональных данных.

ООО «Галатея» организует обработку персональных данных в строгом соответствии с действующим законодательством РФ и договорными обязательствами. В ООО «Галатея» разработан и утвержден внутренний нормативный документ Положение об обработке персональных данных в ООО «Галатея».

Согласованность действий по организации обработки и обеспечению безопасности персональных данных.

Действия по организации обработки и обеспечению безопасности персональных данных осуществляются на основе четкого взаимодействия заинтересованных подразделений и согласованы между собой по целям, задачам, принципам, методам и средствам.

Экономическая целесообразность.

Компания «Галатея» стремится выбирать меры обеспечения законности обработки персональных данных с учетом затрат на их реализацию, вероятности нарушения условий обработки и оценки вреда, который может быть причинен субъектам персональных данных при нарушении условий обработки.

Безопасность в области персонала.

Общество стремится тщательно выбирать персонал (работников), участвующих в процессах обработки персональных данных, вырабатывать и поддерживать корпоративную этику, что создает благоприятную среду для деятельности ООО «Галатея», снижает риски информационной безопасности и риски нарушения условий обработки персональных данных.

Осведомленность в вопросах обработки персональных данных.

Документированные требования в области персональных данных доводятся до сведения работников ООО «Галатея» и контрагентов в части, их касающейся.

Персональная ответственность.

Работники ООО «Галатея» несут персональную ответственность за соблюдение требований по организации обработки и обеспечению безопасности персональных данных. Данные требования включаются в должностные инструкции и в трудовые договоры, а также в договоры с контрагентами.

3. УСЛОВИЯ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

При обработке персональных данных в ООО «Галатея» соблюдаются следующие условия:

• обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только персональные данные, которые отвечают целям их обработки;
• содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
• при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Компания «Галатея» принимает необходимые меры и обеспечивает их принятие по удалению, уточнению неполных или неточных данных;
• хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

Обработка персональных данных в ООО «Галатея» допускается в следующих случаях:

• обработка персональных данных осуществляется с согласия субъекта на обработку его персональных данных;
• обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
• обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
• обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
• обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 ФЗ-152, при условии обязательного обезличивания персональных данных;
• осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);
• осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

ООО «Галатея» вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, либо путем принятия соответствующего акта (далее – поручение). Лицо, осуществляющее обработку персональных данных по поручению ООО «Галатея», обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152.

В поручении ООО «Галатея» определяется перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки; устанавливается обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке; указываются требования к защите обрабатываемых персональных данных в соответствии со статьей 19 ФЗ-152.

В случае, если ООО «Галатея» поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет ООО «Галатея». Лицо, осуществляющее обработку персональных данных по поручению ООО «Галатея», несет ответственность перед ООО «Галатея».

4. ОТВЕТСТВЕННОСТЬ ПЕРЕД СУБЪЕКТАМИ ПЕРСОНАЛЬНЫХ ДАННЫХ

По соответствующему запросу субъекта персональных данных Компания «Галатея» обязана:

• Произвести уточнение персональных данных, блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
• Предоставить информацию субъекту персональных данных, касающуюся обработки его персональных данных, в том числе содержащей:
• подтверждение факта обработки персональных данных Компанией «Галатея»;
• правовые основания и цели обработки персональных данных;
• цели и применяемые Компанией «Галатея» способы обработки персональных данных;
• наименование и место нахождения ООО «Галатея», сведения о лицах (за исключением работников ООО «Галатея»), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией «Галатея»;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
• сроки обработки персональных данных, в том числе сроки их хранения;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ООО «Галатея», если обработка поручена или будет поручена такому лицу

5. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

В ООО «Галатея» разработан и утвержден внутренний нормативный документ Положение об обеспечении безопасности персональных данных в ООО «Галатея», определяющий порядок организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ООО «Галатея».

В ООО «Галатея» внедрена система защиты персональных данных, представляющая собой комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных, направленных на:

• защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
• реализацию методов и способов защиты информации для информационных систем персональных данных, указанных в Приказе ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» для соответствующего уровня защищенности персональных данных;
• нейтрализацию актуальных угроз безопасности персональных данных применительно к конкретной информационной системе персональных данных, определенных в соответствии с Регламентом управления рисками информационной безопасности в ООО «Галатея».

В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных входят:

• идентификация и аутентификация субъектов доступа и объектов доступа;
• управление доступом субъектов доступа к объектам доступа;
• ограничение программной среды;
• защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;
• регистрация событий безопасности;
• антивирусная защита;
• обнаружение (предотвращение) вторжений;
• контроль (анализ) защищенности персональных данных;
• обеспечение целостности информационных систем персональных данных и персональных данных;
• обеспечение доступности персональных данных;
• защита среды виртуализации;
• защита технических средств;
• защита информационных систем персональных данных и персональных данных, ее средств, систем связи и передачи данных;
• выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационных систем персональных данных и персональных данных и (или) к возникновению угроз безопасности персональных данных, и реагирование на них;
• управление конфигурацией информационных систем персональных данных и персональных данных и системы защиты персональных данных.

Также в ООО «Галатея» разработан и внедрен комплект внутренней нормативной и организационно-распорядительной документации по организации обработки и обеспечению безопасности персональных данных.

В отдельных случаях для выполнения части функций по обеспечению безопасности персональных данных Компанией «Галатея» могут привлекаться сторонние организации, имеющие оформленные в установленном порядке лицензии на осуществление деятельности по технической защите конфиденциальной информации.

6. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТА

Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут административную ответственность по ст. 13.11, 13.14 Кодекса об административных правонарушениях РФ.

Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут ответственность, предусмотренную законодательством РФ, внутренними нормативными актами ООО «Галатея» и договорами, регламентирующими правоотношения ООО «Галатея» с третьими лицами.