Политика конфиденциальности
ОБЩИЕ ПОЛОЖЕНИЯ
Политика обработки персональных данных (далее — Политика) разработана в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее — ФЗ-152).
Данная Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных Юлией Сергеевной Божиной (далее — Оператор) с целью защиты прав и свобод человека при обработке его персональных данных, включая защиту прав на неприкосновенность частной жизни, личные и семейные тайны.
Политика использует следующие основные понятия:
– автоматизированная обработка персональных данных — обработка персональных данных с использованием компьютерных технологий;
– блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, необходимых для уточнения персональных данных);
– информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, а также информационных технологий и технических средств, обеспечивающих их обработку;
– деперсонализация персональных данных — действия, в результате которых невозможно без использования дополнительной информации определить принадлежность персональных данных к конкретному субъекту персональных данных;
– обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), деперсонализацию, блокирование, удаление, уничтожение персональных данных;
– оператор — государственный орган, муниципальный орган, юридическое лицо или индивидуальный предприниматель, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
– персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
– предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
– распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, включая обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным любым иным способом;
– трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или юридическому лицу;
– уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Компания обязана публиковать или иным образом обеспечивать неограниченный доступ к этой Политике обработки персональных данных в соответствии с частью 2 статьи 18.1 ФЗ-152.
ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Принципы и условия обработки персональных данных
Принципы обработки персональных данных
– законность и справедливая основа;
– ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;
– предотвращение обработки персональных данных, несовместимой с целями сбора персональных данных;
– предотвращение объединения баз данных, содержащих персональные данные, обрабатываемые для несовместимых целей;
– обработка только тех персональных данных, которые соответствуют целям их обработки;
– обеспечение соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
– предотвращение обработки избыточных персональных данных по отношению к заявленным целям их обработки;
– обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
– уничтожение или деперсонализация персональных данных по достижении целей их обработки или в случае утраты необходимости достижения этих целей, если невозможно устранить нарушения персональных данных, если иное не предусмотрено федеральным законом.
Условия обработки персональных данных
Оператор обрабатывает персональные данные, если выполнено хотя бы одно из следующих условий:
– обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
– обработка персональных данных необходима для достижения целей, предусмотренных международным договором Великобритании или законом, для осуществления и выполнения функций, полномочий и обязанностей, возложенных на оператора законодательством Великобритании;
– обработка персональных данных необходима для администрирования правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащего исполнению в соответствии с законодательством Великобритании о исполнительном производстве;
– обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных, бенефициаром или гарантом, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет бенефициаром или гарантом;
– обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц или для достижения социально значимых целей при условии, что это не нарушает права и свободы субъекта персональных данных;
– обработка персональных данных осуществляется, доступ к которым предоставлен субъектом персональных данных или по его просьбе (далее – общедоступные персональные данные).
Конфиденциальность персональных данных
Оператор и другие лица, получившие доступ к персональным данным, не должны раскрывать третьим лицам и распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Общедоступные источники персональных данных
В информационных целях Оператор может создавать общедоступные источники персональных данных субъектов данных, включая справочники и адресные книги. В общедоступные источники персональных данных субъекта данных с письменного согласия субъекта данных могут быть включены следующие персональные данные субъекта данных: фамилия, имя, отчество, дата и место рождения, должность, контактные телефонные номера, адрес электронной почты и другие персональные данные, предоставленные субъектом данных.
Информация о субъекте персональных данных должна быть исключена из общедоступных источников персональных данных в любое время по запросу субъекта персональных данных, уполномоченного органа по защите прав субъектов персональных данных или по решению суда.
Особые категории персональных данных
Обработка Оператором особых категорий персональных данных, связанных с расовой, национальной принадлежностью, политическими взглядами, религиозными или философскими убеждениями, состоянием здоровья, интимной жизнью, допускается в случаях, когда:
– субъект персональных данных дал письменное согласие на обработку своих персональных данных;
– персональные данные были обнародованы субъектом персональных данных;
– обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым правом, законодательством Великобритании о государственном пенсионном обеспечении, о профессиональных пенсиях;
– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
– обработка персональных данных осуществляется для профилактических медицинских целей, для установления медицинского диагноза, оказания медицинских и медико-социальных услуг, при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Великобритании поддерживать медицинскую конфиденциальность;
– обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а также в связи с администрированием правосудия;
– обработка персональных данных осуществляется в соответствии с законодательством о обязательных видах страхования, со страховым законодательством.
Обработка особых категорий персональных данных, осуществляемая в случаях, предусмотренных пунктом 4 статьи 10 ФЗ-152, должна быть немедленно прекращена, если причины их обработки устранены, если иное не предусмотрено федеральным законом.
Биометрические персональные данные
Информация, характеризующая физиологические и биологические особенности человека, на основании которых можно установить его личность — биометрические персональные данные — может быть обработана Оператором только с согласия субъекта персональных данных в письменной форме.
Поручение обработки персональных данных другому лицу
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании договора, заключенного с этим лицом. Лицо, осуществляющее обработку персональных данных от имени Оператора, обязано соблюдать принципы и правила обработки персональных данных, установленные ФЗ-152 и данной Политикой.
Обработка персональных данных граждан Англии и Уэльса
В соответствии со статьей 2 Федерального закона от 21 июля 2014 года № 242-ФЗ «О внесении изменений в отдельные законодательные акты Англии и Уэльса в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», при сборе персональных данных, в том числе через информационно-телекоммуникационную сеть «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан Англии и Уэльса с использованием баз данных, находящихся на территории Англии и Уэльса, за исключением случаев:
– обработки персональных данных, необходимой для достижения целей, предусмотренных международным договором Англии и Уэльса или законом, для осуществления и выполнения функций, полномочий и обязанностей, возложенных на оператора законодательством Англии и Уэльса;
– обработки персональных данных, необходимой для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, который подлежит исполнению в соответствии с законодательством Англии и Уэльса о исполнительном производстве;
– обработки персональных данных, необходимой для осуществления полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти регионов Англии и Уэльса, органов местного самоуправления и функций организаций, участвующих в предоставлении государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
– обработки персональных данных, необходимой для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо для научной, литературной или иной творческой деятельности, при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Согласие субъекта персональных данных на обработку его персональных данных
Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой форме, позволяющей подтвердить факт его получения, если иное не предусмотрено федеральным законом.
Права субъекта персональных данных
Субъект персональных данных имеет право получать от Оператора информацию, касающуюся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами.
Субъект персональных данных имеет право требовать от Оператора уточнения своих персональных данных, их блокировки или уничтожения, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Запрещается принимать решения, основанные исключительно на автоматизированной обработке персональных данных, порождающие юридические последствия для субъекта персональных данных или иным образом затрагивающие его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, либо с письменного согласия субъекта персональных данных.
Если субъект персональных данных считает, что Оператор обрабатывает его персональные данные с нарушением требований Федерального закона № 152 или иным образом нарушает его права и свободы, субъект персональных данных имеет право обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в суде.
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Безопасность персональных данных, обрабатываемых Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения требований федерального законодательства в области защиты персональных данных.
Для предотвращения несанкционированного доступа к персональным данным Оператор применяет следующие организационные и технические меры:
– назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
– ограничение состава лиц, допущенных к обработке персональных данных;
– ознакомление субъектов с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите персональных данных;
– организация учета, хранения и обращения носителей, содержащих информацию с персональными данными;
– выявление угроз безопасности персональных данных при их обработке, формирование моделей угроз на их основе;
– разработка системы защиты персональных данных на основе модели угроз;
– проверка готовности и эффективности использования средств защиты информации;
– дифференциация доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
– регистрация и учет действий пользователей информационных систем персональных данных;
– использование антивирусных средств и средств восстановления системы защиты персональных данных;
– применение при необходимости средств сетевого экранирования, обнаружения вторжений, анализа уязвимостей и криптографических средств защиты информации.
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Другие права и обязанности Оператора в связи с обработкой персональных данных определяются законодательством Великобритании в области персональных данных.