Система менеджмента качества
О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИХ ЛИЦ
Положение ХКР-7.1.2-05 П-2019
1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
1.1. Общество – Акционерное общество «Хакель».
1.2. Оператор – Акционерное общество «Хакель».
1.3. Работник Общества, ответственный за коммуникацию с третьими лицами – работник Общества, который в ходе выполнения своих должностных обязанностей взаимодействует с третьими лицами и получает, обрабатывает их персональные данные.
1.4. Субъект обработки персональных данных, Субъект, третье лицо – физическое лицо, не являющееся работником или соискателем Общества, чьи персональные данные становятся известны Обществу в рамках его деятельности.
1.5. Контрагент – юридическое лицо, физическое лицо, индивидуальный предприниматель, являющееся одной из сторон договора, заключенного с Обществом, или планирующее заключить такой договор.
1.6. Сотрудник контрагента – лицо, представляющее интересы контрагента в рамках заключения или исполнения договора с Обществом.
1.7. Государственный служащий – лицо, осуществляющее профессиональную служебную деятельность на должности государственной гражданской службы субъекта Российской Федерации, федеральной государственной службы, муниципальной службы.
1.8. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому Субъекту.
1.9. Обработка персональных данных– любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных работника.
1.10. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
1.11. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2. ОБЩИЕ ПОЛОЖЕНИЯ
2.1. Настоящее Положение является локальным нормативным актом Общества, являющегося оператором персональных данных.
2.2. Настоящее Положение устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным третьих лиц.
2.3. Настоящее Положение разработано в целях:
• регламентации порядка осуществления операций с персональными данными третьих лиц;
• обеспечения требований действующего законодательства, в том числе Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – «Федеральный закон № 152-ФЗ») и иных нормативно-правовых актов, регулирующих вопросы, связанные с персональными данными;
• установления прав и обязанностей работников Общества в части работы с персональными данными третьих лиц;
• установления механизмов ответственности работников Общества за нарушение вышеуказанного законодательства и локальных нормативных актов Общества, регулирующих вопросы, связанные с персональными данными третьих лиц.
3. ОБЯЗАННОСТИ ОБЩЕСТВА
3.1. В целях обеспечения прав и свобод человека и гражданина Общество при обработке персональных данных третьих лиц обязано соблюдать следующие общие требования:
3.1.1. Обработка персональных данных третьего лица может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, заключения договоров Общества с контрагентами, исполнения договоров, заключенных Обществом с его контрагентами.
3.1.2. При определении объема и содержания обрабатываемых персональных данных третьего лица Общество должно руководствоваться Конституцией Российской Федерации, иными федеральными законами, а также целями такой обработки.
3.1.3. Все персональные данные субъекта следует получать непосредственно у такого субъекта. В случае, если персональные данные субъекта предоставляются третьим лицом (например, данные о сотруднике контрагента предоставляются другим сотрудником контрагента), Общество обязано удостовериться в наличии согласия субъекта на такую передачу. Общество обязано сообщить третьему лицу о целях получения персональных данных и последствиях отказа дать письменное согласие на их получение.
3.1.4. Общество не имеет права получать и обрабатывать персональные данные третьего лица о его расовой, национальной принадлежности, политических, религиозных, философских и иных убеждениях, частной жизни, а также иные персональные данные, получение и обработка которых не соответствует преследуемой цели.
3.1.5. Защита персональных данных третьего лица от неправомерного их использования или утраты должна быть обеспечена Обществом за счет его средств в порядке, установленном федеральным законом.
3.1.6. Третьему лицу должна быть обеспечена возможность беспрепятственного ознакомления с локальными нормативными актами Общества, устанавливающими порядок обработки персональных данных третьих лиц, с их правами и обязанностями в этой области.
4. ПРАВА ТРЕТЬЕГО ЛИЦА (СУБЪЕКТА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ)
4.1. Субъект персональных данных имеет право:
4.1.1. На полную информацию о своих персональных данных и обработке этих данных.
4.1.2. На свободный бесплатный доступ к своим персональным данным.
4.1.3. Требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований, определенных действующим законодательством. При отказе Общества исключить или исправить персональные данные Субъекта он имеет право заявить в письменной форме Обществу о своем несогласии с соответствующим обоснованием такого несогласия.
4.1.4. Обжаловать в суд любые неправомерные действия или бездействие Общества при обработке и защите его персональных данных.
5. СБОР ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Сбор персональных данных третьих лиц производится Обществом следующими способами:
5.1.1. Получение персональных данных третьего лица путем сообщения им таких данных в процессе коммуникации с Обществом посредством телефона, электронной почты или лично;
5.1.1.1. Данные, полученные путем, указанным в п. 5.1.1., признаются персональными в случае, если их совокупности достаточно для прямой или косвенной идентификации субъекта.
5.1.1.2. К таким персональным данным относятся, включая, но не ограничиваясь:
• Адрес электронной почты;
• Номер телефона;
• Фамилия, имя, отчество;
• Должность и место работы.
5.1.1.3. Для получения согласия третьего лица на обработку таких персональных данных работники Общества, ответственные за коммуникацию с третьими лицами, обращают внимание таких третьих лиц на то, что их дальнейшая коммуникация по выбранному ими каналу связи означает их согласие с возможностью сбора и обработки Обществом предоставленных ими персональных данных.
5.1.1.4. Согласие третьего лица на обработку персональных данных должно быть получено в форме, позволяющей его дальнейшее хранение и использование.
5.1.1.5. В случае сообщения персональных данных третьим лицом лично, работник Общества, ответственный за коммуникацию с третьим лицом, выдаёт ему бланк согласия на обработку персональных данных (приложение № 1 к настоящему Положению) для заполнения.
5.1.1.6. В случае сообщения персональных данных третьим лицом посредством электронной почты согласие третьего лица на обработку персональных данных выражается как совокупность электронного сообщения работника Общества, содержащего уведомление, предусмотренное п. 5.1.1.3., и следующего за ним сообщения третьего лица.
5.1.1.7. В случае сообщения персональных данных третьим лицом по телефону, согласие третьего лица на обработку персональных данных выражается как запись разговора, содержащего уведомление третьего лица, предусмотренное п. 5.1.1.3., с последующим продолжением третьим лицом беседы. В случае отсутствия технической возможности записи такого разговора, работник Общества, ответственный за коммуникацию с третьим лицом, обязан предложить третьему лицу другой канал связи для передачи согласия на обработку персональных данных.
5.1.1.8. В случае необходимости получения от третьего лица дополнительных сведений, содержащих персональные данные, работник Общества, ответственный за коммуникацию с третьим лицом, запрашивает такие сведения с обязательным разъяснением цели сбора таких персональных данных.
5.1.2. Получение персональных данных третьего лица через форму обратной связи на сайте www.hakel.ru;
5.1.2.1. Форма обратной связи располагается по адресу https://www.hakel.ru/c.phtml.
5.1.2.2. Данные, полученные путем, указанным в п. 5.1.2., признаются персональными в случае, если их совокупности достаточно для прямой или косвенной идентификации субъекта.
5.1.2.3. К таким персональным данным относятся, включая, но не ограничиваясь:
• Имя третьего лица;
• Номер телефона;
• Адрес электронной почты.
5.1.2.4. Для отправки данных через форму обратной связи субъект обработки персональных данных обязан согласиться с утверждением, что он ознакомлен и согласен с политикой обработки персональных данных Обществом, без чего сообщение Обществу отправлено не будет. Таким образом, отправка сведений через форму обратной связи автоматически означает согласие субъекта на обработку его персональных данных Обществом.
5.1.2.5. Дальнейший сбор персональных данным Субъектом производится на условиях п. 5.1.1. с подпунктами.
5.1.3. Передача персональных данных третьего лица иным третьим лицом допустима в следующих случаях:
• Передача персональных данных одного сотрудника контрагента другим сотрудником контрагента, в случае если это необходимо для заключения или исполнения договора Общества с контрагентом, при условии наличия согласия субъекта на такую передачу персональных данных; для подтверждения наличия такого согласия сотрудник контрагента, передающий персональные данные, обязан предоставить Обществу сканированную копию полученного согласия на обработку персональных данных лица, чьи персональные данные передаются.
• Передача персональных данных одного государственного служащего другим государственным служащим в случаях, если это необходимо для взаимодействия между государственным или муниципальным органом и Обществом. При обработке персональных данных государственных служащих согласие государственного служащего не требуется при передаче его персональных данных в случаях, связанных с выполнением им должностных обязанностей.
5.2. В ходе обработки полученных от третьих лиц персональных данных презюмируется их корректность и достоверность. В случае обнаружения недостоверности персональных данных Общество имеет право уточнить такие персональные данные у третьего лица.
6. ХРАНЕНИЕ И ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИХ ЛИЦ
6.1. Хранение персональных данных третьих лиц осуществляется на электронных носителях, а также в бумажном виде.
6.2. Персональные данные сотрудников контрагента, полученные на бумажных носителях, согласие сотрудника контрагента на обработку персональных данных в виде отдельного документа за подписью такого сотрудника контрагента, хранятся в папке, содержащей документы, относящиеся к такому контрагенту, в течение срока, установленного локальными нормативными актами Общества для хранения документов и договоров с таким контрагентом.
6.3. Сканированные копии документов, содержащих персональные данные сотрудников контрагента, полученные на бумажных носителях, документов, содержащих согласия сотрудников контрагента на обработку персональных данных, хранятся в электронном виде в сетевой папке, содержащей документы такого контрагента, на сервере Общества. Доступ к указанным сетевым папкам предоставляется строго работникам Общества, взаимодействующим с контрагентами Общества в рамках заключения и исполнения договоров Общества с контрагентом. Доступ осуществляется при помощи индивидуальных паролей.
6.4. Персональные данные третьих лиц, полученные посредством электронной почты в форме отдельных файлов, хранятся в электронном виде в сетевой папке, посвященной такому контрагенту, на сервере Общества. Доступ к указанным сетевым папкам предоставляется строго работникам Общества, взаимодействующим с контрагентами Общества в рамках заключения и исполнения договоров Общества с контрагентом. Доступ осуществляется при помощи индивидуальных паролей.
6.5. Персональные данные третьих лиц, полученные посредством электронной почты в форме информации, содержащейся в электронном письме, хранятся в электронном виде на сервере Общества в почтовом клиенте. Доступ к таким электронным письмам предоставляется строго работникам Общества, взаимодействующим с контрагентами Общества в рамках заключения и исполнения договоров Общества с контрагентами. Доступ осуществляется при помощи индивидуальных паролей.
6.6. Доступ к персональным данным третьих лиц должен быть защищен от несанкционированного доступа.
7. ОРГАНИЗАЦИЯ ДОСТУПА РАБОТНИКОВ ОБЩЕСТВА К ПЕРСОНАЛЬНЫМ ДАННЫМ
7.1. Доступ к персональным данным сотрудников контрагентов имеют работники, в силу своих должностных обязанностей ответственные за коммуникацию с контрагентом в ходе заключения или исполнения договора, а также, в любом случае:
• генеральный директор;
• заместитель генерального директора – исполнительный директор;
• финансовый директор;
• главный бухгалтер.
• сотрудники юридического отдела;
• секретарь-делопроизводитель;
• сотрудники отдела информационных технологий;
7.2. Доступ к персональным данным государственных служащих имеют работники, в силу своих должностных обязанностей ответственные за коммуникацию с этим государственным служащим, а также, в любом случае:
• генеральный директор;
• заместитель генерального директора – исполнительный директор.
• финансовый директор;
• главный бухгалтер;
• сотрудники юридического отдела;
• секретарь-делопроизводитель;
• сотрудники отдела информационных технологий.
7.3. Доступ иных работников, не указанных в п. 7.1., п. 7.2., к персональным данным осуществляется на основании письменного разрешения генерального директора Общества.
7.4. Копировать и делать выписки из персональных данных третьего лица разрешается исключительно в служебных целях с письменного разрешения генерального директора Общества при условии отсутствия несанкционированного доступа к персональным данным.
7.5. Сотрудники, имеющие доступ к персональным данным, обязаны:
• осуществлять операции с персональными данными при соблюдении норм, установленных настоящим Положением, другими локальными нормативными актами Общества, а также действующим законодательством;
• обеспечивать конфиденциальность операций с персональными данными;
• обеспечивать сохранность и неизменность персональных данных.
8. ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИХ ЛИЦ
8.1. Персональные данные сотрудников контрагента используются исключительно для целей, связанных с заключением и исполнением договора Общества с контрагентом, в рамках которого персональные данные сотрудника контрагента были переданы Обществу.
8.2. Персональные данные государственных служащих используются исключительно для целей, связанных с исполнением таким государственным служащим своих должностных обязанностей.
9. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬЕЙ СТОРОНЕ
9.1. Информация, относящаяся к персональным данным, может быть предоставлена государственным органам и иным лицам в порядке, установленном федеральным законом.
9.2. Общество вправе разрешать доступ к персональным данным субъектов персональных данных только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные субъекта, которые необходимы для выполнения конкретных функций;
9.3. О передаче персональных данных в случаях, предусмотренных п. 9.1., Общество обязано незамедлительно уведомить субъекта персональных данных.
9.4. Общество обязано предупредить лиц, получающих персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта персональных данных, обязаны соблюдать их конфиденциальность. Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
9.5. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом или настоящим Положением на получение информации, относящейся к персональным данным, Общество обязано отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации, копия уведомления направляется субъекту персональных данных.
10. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. В целях обеспечения сохранности и конфиденциальности персональных данных третьих лиц все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только работниками Общества, осуществляющими данную работу в соответствии с их должностными обязанностями.
10.2. Передача информации, содержащей сведения о персональных данных третьих лиц по телефону, электронной почте и иным каналам связи без согласия третьего лица запрещается.
10.3. Документы, содержащие персональные данные третьих лиц, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
11. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Уничтожение персональных данных производится в случае, если достигнута цель обработки персональных данных, если от третьего лица получен отзыв согласия на обработку персональных данных и при этом документы, содержащие персональные данные, не входят в состав установленных законом документов, обязательных для хранения Обществом.
11.2. Документы, содержащие персональные данные сотрудников контрагента, договор с которым прекращен, подлежат уничтожению не позднее, чем в момент истечения срока, установленного локальными нормативными актами Общества для хранения документов и договоров с таким контрагентом, за исключением документов, обязательных к хранению в течение более длительного срока согласно действующему законодательству.
11.3. Документы, содержащие персональные данные сотрудников контрагента, договор с которым не был заключен, подлежат уничтожению не позднее, чем через полгода с момента последней коммуникации с таким контрагентом.
11.4. Документы, содержащие персональные данные государственных служащих, уничтожаются не позднее, чем через полгода с момента последней коммуникации с таким государственным служащим.
11.5. Для целей уничтожения персональных данных на основании приказа генерального директора (Приложение 3) создается комиссия по уничтожению персональных данных и определяются сроки для составления списка персональных данных, подлежащих уничтожению, и дата их уничтожения.
11.6. По завершению уничтожения персональных данных комиссией составляется акт об уничтожении персональных данных (Приложение 4).
12. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ, СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ ТРЕТЬИХ ЛИЦ
12.1. Информация, относящаяся к персональным данным третьего лица, является конфиденциальной.
12.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных третьих лиц, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность за нарушения правил осуществления операций с персональными данными, установленных настоящим Положением, в соответствии с действующим законодательством.
12.3. В случае разглашения персональных данных третьего лица без его согласия он вправе требовать от Общества разъяснений и обжаловать в суде любые неправомерные действия или бездействие Общества при обработке и защите персональных данных третьего лица.
12.4. Ограничение несанкционированного доступа к персональным данным третьего лица обеспечивается Обществом и снимается в момент их обезличивания или уничтожения.
13. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
13.1. Настоящее Положение вступает в силу и действует бессрочно.
13.2. Все работники Общества должны ознакомиться с Положением под подпись.
|