ОБЩИЕ ПОЛОЖЕНИЯ
1. 1. Цели положения
1. 1. 1. Настоящее Положение об обработке персональных данных (далее — «Положение») в ООО «Океанариум №1» (далее – «Организация») разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных», Правилами внутреннего трудового распорядка Организации.
1. 1. 2. Цель разработки Положения — определение порядка обработки персональных данных клиентов и контрагентов Организации; обеспечение защиты прав и свобод субъекта персональных данных при обработке его персональных данных; установление режима конфиденциальности персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных. Персональные данные клиентов и иных контрагентов Организации могут обрабатываться только для целей, непосредственно связанных с деятельностью Организации.
1. 1. 3. Порядок ввода в действие и изменения Положения. Настоящее Положение вступает в силу с момента его утверждения Генеральным директором Организации и действует бессрочно, до замены его новым Положением. Все изменения в Положение вносятся приказом.
1. 1. 4. Все работники Организации должны быть ознакомлены с настоящим Положением под роспись.
1. 1. 5. Настоящее Положение является обязательным для исполнения всеми работниками Организации.
1. 1. 6. Режим конфиденциальности персональных данных снимается в случаях их обезличивания; включения персональных данных в общедоступные источники персональных данных; по истечении 75 (Семидесяти пяти) лет срока их хранения или продлевается на основании заключения экспертной комиссии Организации, если иное не определено законом, для некоторых персональных данных срок и режим конфиденциальности устанавливается трудовым договором с работником Организации.
II. ОСНОВНЫЕ ПОНЯТИЯ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Основные понятия.
2.1.1. Для целей настоящего Положения используются следующие основные понятия:
• Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• Использование персональных данных — действия (операции) с персональными данными, совершаемые должностным лицом Организации в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
• Блокирование персональных данных — временное прекращение обработки персональных данных;
• Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
• Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранному государству, иностранному физическому или юридическому лицу.
2.2. Состав персональных данных.
2.2.1. В состав персональных данных, обрабатываемых Организацией, входят имя, фамилия, адрес электронной почты, иная информация, которую субъекты персональных данных добровольно сообщают о себе.
III. СБОР, ОБРАБОТКА И ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Порядок получения персональных данных.
3.1.1. Обработка персональных данных Организацией допускается в следующих случаях:
• Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
• Обработка персональных данных необходима для достижения целей, предусмотренных законодательством Российской Федерации, для осуществления Организацией функций, полномочий и обязанностей, возложенных соответствующим законом;
IV. ПЕРЕДАЧА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Требования при передаче персональных данных.
4.1.1. При передаче персональных данных Организация должна соблюдать следующие требования:
• Не сообщать персональные данные субъекта персональных данных третьей стороне без его согласия.
• Не сообщать персональные данные субъекта персональных данных в коммерческих целях без его согласия.
• Предупредить лиц, получивших персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
• Лица, получившие персональные данные субъекта персональных данных, обязаны соблюдать режим секретности (конфиденциальности).
• Осуществлять передачу персональных данных субъектов персональных данных в пределах Организации в соответствии с настоящим Положением в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
• Разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
4.2. Персональные данные могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
V. ЗАЩИТА И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Защита персональных данных.
5.1.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
5.1.2. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
5.1.3. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и не заинтересованные в возникновении угрозы лица.
5.1.4. Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности Организации.
5.1.5. Защита персональных данных от неправомерного их использования или утраты должна быть обеспечена Организацией за счет собственных средств в порядке, установленном федеральным законом.