1. Общие положения
Политика обработки персональных данных (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006. №152-ФЗ «О персональных данных» (далее – ФЗ-152).
Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, получаемых в результате пользования сайтом КИМС РФ (далее – Сайт) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
В Политике используются следующие основные понятия:
- Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
- Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
- Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;
- Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно- телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
- Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.
Компания обязана опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике обработки персональных данных в соответствии с ч. 2 ст. 18.1. ФЗ-152.
2. Принципы и условия обработки персональных данных
2.1 Принципы обработки персональных данных
Обработка персональных данных у Оператора осуществляется на основе следующих принципов:
- Законности и справедливой основы;
- Ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
- Недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
- Недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- Обработки только тех персональных данных, которые отвечают целям их обработки;
- Соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
- Недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
- Обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
- Уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом.
2.2 Условия обработки персональных данных
Оператор производит обработку персональных данных с согласия субъекта персональных данных на обработку его персональных данных с целью заключения и исполнения договора, оказания технических и консультационных услуг поддержки по работе в программе.
2.3 Конфиденциальность персональных данных
Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
2.4 Биометрические персональные данные
Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность — биометрические персональные данные — могут обрабатываться Оператором только при наличии согласия в письменной форме субъекта.
2.5 Поручение обработки персональных данных другому лицу
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152.
3. Права субъекта персональных данных
3.1 Согласие субъекта персональных данных на обработку его персональных данных
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Текст соглашения находится по адресу https://kims-rf.ru/processing-data-acceptance/
3.2 Права субъекта персональных данных
Субъект персональных данных имеет право на получение у Оператора информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, обновления и их блокирования или уничтожения.
Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.
Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований ФЗ-152 или иным образом нарушает его права и свободы, субъект персональных данных вправе отправить письменное уведомление о прекращении обработки данных и уничтожения.
Субъект персональных данных имеет право на защиту своих прав и законных интересов.
4. Обеспечение безопасности персональных данных
Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.
Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры:
- Назначение должностных лиц, ответственных за организацию защиты персональных данных;
- Ограничение состава лиц, имеющих доступ к персональным данным;
- Ознакомление субъектов с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите персональных данных;
- Определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
- Разработка на основе модели угроз системы защиты персональных данных;
- Проверка готовности и эффективности использования средств защиты информации;
- Разграничение доступа пользователей к информационным ресурсам и программно- аппаратным средствам обработки информации;
- Регистрация и учет действий пользователей информационных систем персональных данных;
- Использование антивирусных средств и средств восстановления системы защиты персональных данных;
- Применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности;
- Организация пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки персональных данных.
5. Заключительные положения
Иные права и обязанности Оператора, как оператора персональных данных определяются законодательством Российской Федерации в области персональных данных.
Должностные лица Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую ответственность в порядке, установленном федеральными законами.