Положение в отношении политики обработки и защиты персональных данных

1. Общие положения

 

1.1. Настоящие Положения в отношении политики обработки и защиты персональных данных (далее - Положения) разработаны в соответствии со ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) и является локальным правовым документом общества с ограниченной ответственностью «ЙОРБИ» (далее - Общество), определяющим меры в области обработки и защиты персональных данных, оператором которых является Общество.

1.2. Соблюдение Положений Политики обработки и защиты персональных данных направлено на обеспечение мер защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, от несанкционированного доступа и разглашения.

1.3. Настоящие Положения Политики распространяются на отношения по обработке и защите персональных данных, полученных Обществом как до, так и после их утверждения.

 

2. Основания обработки и состав персональных данных, Обрабатываемых Обществом

 

2.1. Обработка персональных данных осуществляется Обществом в связи с выполнением возложенных на Общество субъектами персональных данных обязанностей, определяемых Пользовательским соглашением, Партнерским соглашением YORBY, Соглашением о размещении рекламы.

Общество обрабатывает персональные данные субъектов персональных данных в целях регистрации субъектов на Сайте в сети Интернет, рассылки оповещений, изменений работы Сайта в сети Интернет, проведения акций, для контроля качества обслуживания.

2.2. В рамках осуществления обязанностей Обществом обрабатываются персональные данные, которые могут включать в себя: имя, отчество, фамилию; дату и место рождения; данные документа, подтверждающего личность; пол, семейное положение; почтовый адрес; номер телефона; адрес электронной почты; банковские реквизиты, включая номера банковских.

2.3. В связи с реализацией своих прав и обязанностей как юридического лица, Обществом обрабатываются персональные данные физических лиц, являющихся контрагентами (возможными контрагентами) Общества по гражданско-правовым договорам, персональные данные руководителей, членов коллегиальных исполнительных органов и представителей юридических лиц, персональные данные граждан, письменно обращающихся в Общество по вопросам его деятельности

2.4. Персональные данные получаются и обрабатываются Обществом на основании федеральных законов и иных нормативных правовых актов Российской Федерации, а в необходимых случаях - при наличии письменного согласия субъекта персональных данных.

2.5. В целях исполнения возложенных на Общество обязанностей, Общество вправе поручить обработку персональных данных третьим лицам.

В договоры с лицами, которым Общество поручает обработку персональных данных, включаются условия, обязывающие таких лиц соблюдать предусмотренные законодательством требования к обработке и защите персональных данных.

2.6. Общество предоставляет обрабатываемые им персональные данные государственным органам и организациям, имеющим, в соответствии с федеральным законом, право на получение соответствующих персональных данных.

2.7. Общество не обрабатывает персональные данные, несовместимые с целями их сбора. При достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Обществом персональные данные уничтожатся или обезличиваются.

2.8. При обработке персональных данных обеспечиваются их точность, достаточность, а при необходимости - и актуальность по отношению к целям обработки. Общество принимает необходимые меры по удалению или уточнению неполных или неточных персональных данных.

 

3. Принципы обеспечения безопасности персональных данных

 

3.1. Основной задачей обеспечения безопасности персональных данных при их обработке в Обществе является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки.

3.2. При обработке персональных данных Общество руководствуется следующими принципами:

1) законность: обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей;

2) достаточность: обработке подлежат только персональные данные, которые отвечают целям их обработки.

 

4. Доступ к обрабатываемым персональным данным

 

4.1. Доступ к обрабатываемым в Обществе персональным данным имеют лица, уполномоченные приказом Общества, которым Общество поручило обработку персональных.

Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного Обществом.

4.2. В целях разграничения полномочий при обработке персональных данных полномочия по реализации обязанностей Общества закрепляются за соответствующими должностными лицами или лицами, привлеченными для обработки персональных данных на договорной основе.

4.3. Доступ должностных лиц к обрабатываемым персональным данным осуществляется в соответствии с их должностными обязанностями и требованиями внутренних документов Общества.

Допущенные к обработке персональных данных должностные лица знакомятся с документами Общества, устанавливающими порядок обработки персональных данных.

4.4. Порядок доступа субъекта персональных данных к его персональным данным, обрабатываемым Обществом, определяется в соответствии с законодательством.

 

5. Реализуемые требования к защите персональных данных

 

5.1. Общество принимает правовые, организационные и технические меры, необходимые и достаточные для обеспечения исполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

5.2. В предусмотренных законодательством случаях обработка персональных данных осуществляется Обществом с согласия субъектов персональных данных.

Обществом производится устранение выявленных нарушений законодательства об обработке и защите персональных данных.

5.3. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели обработки персональных данных, если срок хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

5.4. Обществом осуществляется ознакомление должностных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями к защите персональных данных, настоящими Положениями.

5.5. При обработке персональных данных с использованием средств автоматизации Обществом, в частности, применяются следующие меры:

1) назначается Ответственный за организацию обработки;

2) утверждаются (издаются) внутренние документы по вопросам обработки и защиты персональных данных, в том числе устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений;

3) осуществляется внутренний контроль и (или) аудит соответствия обработки персональных данных Закону о персональных данных и настоящим Положениям;

4) проводится оценка вреда, который может быть причинен субъектам персональным данным в случае нарушения Закона о персональных данных, определяется соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение исполнения обязанностей.

5.6. Обеспечение безопасности персональных данных при их обработке достигается, в частности, путем:

1) определения угроз безопасности персональных данных. Тип актуальных угроз безопасности персональных данных и необходимый уровень защищенности персональных данных определяются в соответствии с требованиями законодательства и с учетом проведения оценки возможного вреда;

2) определения в установленном порядке состава и содержания мер по обеспечению безопасности персональных данных, выбора средств защиты информации.

3) применения организационных и технических мер по обеспечению безопасности персональных данных, необходимых для выполнения требований к защите персональных данных, обеспечивающих определенные уровни защищенности персональных данных, включая применение средств защиты информации, прошедших процедуру оценки соответствия, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Обеспечение безопасности персональных данных в Обществе достигается, в частности:

a) оценкой эффективности принимаемых и реализованных мер по обеспечению безопасности персональных данных;

b) учетом машинных носителей персональных данных, обеспечением их сохранности;

c) обнаружением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;

d) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

f) установлением правил доступа к обрабатываемым персональным данным, а также обеспечением регистрации и учета действий, совершаемых с персональными данными;

g) организацией режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

h) контролем за принимаемыми мерами по обеспечению безопасности персональных данных, уровня защищенности информационных систем персональных данных.

5.7. Обеспечение защиты персональных данных в Обществе при их обработке, осуществляемой без использования средств автоматизации, достигается, в частности, путем:

1) обособления персональных данных от иной информации;

2) недопущения фиксации на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы;

3) использования отдельных материальных носителей для обработки каждой категории персональных данных;

4) принятия мер по обеспечению раздельной обработки персональных данных при несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных;

5) соблюдения требований:

к раздельной обработке зафиксированных на одном материальном носителе персональных данных и информации, не относящейся к персональным данным;

уточнению персональных данных;

уничтожению или обезличиванию части персональных данных;

использованию типовых форм документов, характер информации в которых предполагается или допускается включение в них персональных данных;

ведению журналов, содержащих персональные данные, необходимые для выдачи однократных пропусков субъектам персональных данных в занимаемые Обществом помещения;

хранению персональных данных, в том числе к обеспечению раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях, и установлению перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.