Обработка персональных данных
Политика по обработке персональных данных в ООО «Комм Клауд»
УТВЕРЖДЕНО
Приказом № 18 Генерального директора ООО «Комм Клауд»
Попова И. В. от «01» сентября 2021 г.
Редакция 1
Мытищи-2021
1. Назначение и область применения
1.1. Настоящая «Политика по обработке персональных данных в ООО «Комм Клауд» (далее – Политика) является локальным нормативным актом ООО «Комм Клауд» (далее – Компания) и развивает положения «Политики информационной безопасности ООО «Комм Клауд».
1.2. Настоящая Политика определяет принципы и условия обработки ПДн, меры по защите ПДн, а также обязанности Компании при их обработке.
1.3. Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации о персональных данных и нормативно-методическими документами исполнительных органов государственной власти по вопросам безопасности ПДн, в том числе при их обработке в информационных системах ПДн (далее – ИСПДн).
1.4. Действие настоящей Политики по обработке персональных данных распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению персональных данных, осуществляемых с использованием средств автоматизации и без использования таких средств.
УТВЕРЖДЕНО
Приказом № 18 Генерального директора ООО «Комм Клауд»
Попова И. В. от «01» сентября 2021 г.
Редакция 1
Мытищи-2021
1. Назначение и область применения
1.1. Настоящая «Политика по обработке персональных данных в ООО «Комм Клауд» (далее – Политика) является локальным нормативным актом ООО «Комм Клауд» (далее – Компания) и развивает положения «Политики информационной безопасности ООО «Комм Клауд».
1.2. Настоящая Политика определяет принципы и условия обработки ПДн, меры по защите ПДн, а также обязанности Компании при их обработке.
1.3. Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации о персональных данных и нормативно-методическими документами исполнительных органов государственной власти по вопросам безопасности ПДн, в том числе при их обработке в информационных системах ПДн (далее – ИСПДн).
1.4. Действие настоящей Политики по обработке персональных данных распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению персональных данных, осуществляемых с использованием средств автоматизации и без использования таких средств.
Полный текст
2. Термины, определения и сокращения
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
Субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
Оператор - государственный орган, муниципальный орган, физическое или юридическое лицо, в том числе ООО «Комм Клауд», самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
ФЗ № 152 «О персональных данных» - Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».
3. Принципы обработки ПДн
3.1. Обработка персональных данных в Компании осуществляется на основе следующих принципов:
3.1.1. обработка персональных данных осуществляется на законной и справедливой основе;
3.1.2. обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
3.1.3. не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместных между собой;
3.1.4. обработке подлежат только те персональные данные, которые отвечают целям их обработки;
3.1.5. содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;
3.1.6. при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;
3.1.7. хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4. Условия обработки ПДн
4.1. Обработка персональных данных осуществляется с соблюдением принципов и правил, установленных Федеральным законом «О персональных данных». Обработка персональных данных в Компании допускается в следующих случаях:
4.1.1. обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Письменное согласие на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных. Требования к содержанию такого согласия устанавливаются уполномоченным органом по защите прав субъектов персональных данных;
4.1.2. обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
4.1.3. обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
4.1.4. обработка персональных данных необходима для исполнения договора, стороной которого, либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
4.1.5. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
4.1.6. обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
4.1.7. обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных. Исключение составляет обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;
4.1.8. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
4.2. В следующих случаях (за исключением специально обговоренных в ФЗ № 152 «О персональных данных» случаев) требуется письменное согласие субъекта на обработку его ПДн:
включение ПДн субъекта в общедоступные источники ПДн;
обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости;
обработка биометрических ПДн (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных);
трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн;
принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы;
получение от субъекта согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
4.3. При отсутствии необходимости получения согласия субъекта на обработку ПДн в письменной форме, установленной ФЗ №152 «О персональных данных», согласие субъекта может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт получения согласия форме, в том числе в электронном виде.
4.4. Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее – поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению Компании, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящей Политикой и ФЗ №152 «О персональных данных».
4.5. В случае, если Компания поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Компания. Лицо, осуществляющее обработку персональных данных по поручению Компании, несет ответственность перед Компанией.
4.6. Компания не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
4.7. Компания обязана обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории таких данных, указанной в согласии на обработку персональных данных, разрешенных субъектом для распространения.
Если из представленного субъектом персональных данных согласия на их обработку не следует, что он согласился с их распространением, такие персональные данные обрабатываются Компанией без права распространения.
Согласие на обработку персональных данных, разрешенных субъектом для распространения, может быть представлено оператору:
- непосредственно;
- с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не могут считаться согласием на обработку персональных данных, разрешенных для распространения.
В согласии на обработку персональных данных, разрешенных для распространения, субъект вправе установить запреты на передачу (кроме предоставления доступа) их Компанией неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) их неограниченным кругом лиц. Отказ Компании в установлении субъектом персональных данных запретов и условий не допускается.
Компания обязана в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов на обработку и условия обработки неограниченным кругом лиц персональных данных, разрешенных субъектом для распространения.
Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом для распространения, должна быть прекращена в любое время по его требованию. Такое требование должно включать фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в этом требовании персональные данные могут обрабатываться только Компанией, которой оно направлено.
Действие согласия субъекта на обработку его персональных данных, разрешенных им для распространения, прекращается с момента поступления Компании требования, предусмотренного в ч. 12 ст. 10.1 ФЗ № 152 «О персональных данных».
5. Обязанности Компании
В соответствии с требованиями ФЗ №152 «О персональных данных» Компания обязана:
Предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить отказ.
По требованию субъекта ПДн уточнять обрабатываемые ПДн, блокировать или удалять, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Либо обеспечить блокирование, удаление, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора.
Вести Журнал учета обращений субъектов ПДн, в котором должны фиксироваться запросы субъектов ПДн на получение персональных данных, а также факты предоставления персональных данных по этим запросам.
Уведомлять субъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от субъекта ПДн (за исключением случаев, когда субъект ПДн уже уведомлен об осуществлении обработки его персональных данных соответствующим оператором).
В случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить либо обезличить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами. Либо обеспечить уничтожение, обезличивание, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора. Уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных, прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом персональных данных. Либо обеспечить прекращение обработки ПДн и их уничтожение, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора. Об уничтожении персональных данных Компания обязана уведомить субъекта персональных данных.
В случае поступления требования субъекта о прекращении обработки персональных данных в целях продвижения товаров, работ, услуг на рынке немедленно прекратить обработку персональных данных. Либо обеспечить прекращение обработки ПДн, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора.
6. Меры по обеспечению безопасности персональных данных при их обработке
6.1. При обработке персональных данных Компания принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.2. Обеспечение безопасности персональных данных достигается, в частности:
определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
учетом машинных носителей персональных данных;
обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета действий, совершаемых с персональными данными в информационной системе персональных данных;
контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
7. Актуализация документа
Основными механизмами для пересмотра и совершенствования настоящей Политики являются внутренние и внешние аудиты ИБ, а также анализ изменения законодательства Российской Федерации в области персональных данных, анализ системы обеспечения информационной безопасности в сочетании с использованием превентивных и корректирующих мер с интервалом не реже одного раза в год.
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
Субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
Оператор - государственный орган, муниципальный орган, физическое или юридическое лицо, в том числе ООО «Комм Клауд», самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
ФЗ № 152 «О персональных данных» - Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».
3. Принципы обработки ПДн
3.1. Обработка персональных данных в Компании осуществляется на основе следующих принципов:
3.1.1. обработка персональных данных осуществляется на законной и справедливой основе;
3.1.2. обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
3.1.3. не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместных между собой;
3.1.4. обработке подлежат только те персональные данные, которые отвечают целям их обработки;
3.1.5. содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;
3.1.6. при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;
3.1.7. хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4. Условия обработки ПДн
4.1. Обработка персональных данных осуществляется с соблюдением принципов и правил, установленных Федеральным законом «О персональных данных». Обработка персональных данных в Компании допускается в следующих случаях:
4.1.1. обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Письменное согласие на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных. Требования к содержанию такого согласия устанавливаются уполномоченным органом по защите прав субъектов персональных данных;
4.1.2. обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
4.1.3. обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
4.1.4. обработка персональных данных необходима для исполнения договора, стороной которого, либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
4.1.5. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
4.1.6. обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
4.1.7. обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных. Исключение составляет обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;
4.1.8. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
4.2. В следующих случаях (за исключением специально обговоренных в ФЗ № 152 «О персональных данных» случаев) требуется письменное согласие субъекта на обработку его ПДн:
включение ПДн субъекта в общедоступные источники ПДн;
обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости;
обработка биометрических ПДн (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных);
трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн;
принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы;
получение от субъекта согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
4.3. При отсутствии необходимости получения согласия субъекта на обработку ПДн в письменной форме, установленной ФЗ №152 «О персональных данных», согласие субъекта может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт получения согласия форме, в том числе в электронном виде.
4.4. Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее – поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению Компании, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящей Политикой и ФЗ №152 «О персональных данных».
4.5. В случае, если Компания поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Компания. Лицо, осуществляющее обработку персональных данных по поручению Компании, несет ответственность перед Компанией.
4.6. Компания не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
4.7. Компания обязана обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории таких данных, указанной в согласии на обработку персональных данных, разрешенных субъектом для распространения.
Если из представленного субъектом персональных данных согласия на их обработку не следует, что он согласился с их распространением, такие персональные данные обрабатываются Компанией без права распространения.
Согласие на обработку персональных данных, разрешенных субъектом для распространения, может быть представлено оператору:
- непосредственно;
- с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не могут считаться согласием на обработку персональных данных, разрешенных для распространения.
В согласии на обработку персональных данных, разрешенных для распространения, субъект вправе установить запреты на передачу (кроме предоставления доступа) их Компанией неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) их неограниченным кругом лиц. Отказ Компании в установлении субъектом персональных данных запретов и условий не допускается.
Компания обязана в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов на обработку и условия обработки неограниченным кругом лиц персональных данных, разрешенных субъектом для распространения.
Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом для распространения, должна быть прекращена в любое время по его требованию. Такое требование должно включать фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в этом требовании персональные данные могут обрабатываться только Компанией, которой оно направлено.
Действие согласия субъекта на обработку его персональных данных, разрешенных им для распространения, прекращается с момента поступления Компании требования, предусмотренного в ч. 12 ст. 10.1 ФЗ № 152 «О персональных данных».
5. Обязанности Компании
В соответствии с требованиями ФЗ №152 «О персональных данных» Компания обязана:
Предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить отказ.
По требованию субъекта ПДн уточнять обрабатываемые ПДн, блокировать или удалять, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Либо обеспечить блокирование, удаление, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора.
Вести Журнал учета обращений субъектов ПДн, в котором должны фиксироваться запросы субъектов ПДн на получение персональных данных, а также факты предоставления персональных данных по этим запросам.
Уведомлять субъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от субъекта ПДн (за исключением случаев, когда субъект ПДн уже уведомлен об осуществлении обработки его персональных данных соответствующим оператором).
В случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить либо обезличить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами. Либо обеспечить уничтожение, обезличивание, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора. Уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных, прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом персональных данных. Либо обеспечить прекращение обработки ПДн и их уничтожение, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора. Об уничтожении персональных данных Компания обязана уведомить субъекта персональных данных.
В случае поступления требования субъекта о прекращении обработки персональных данных в целях продвижения товаров, работ, услуг на рынке немедленно прекратить обработку персональных данных. Либо обеспечить прекращение обработки ПДн, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора.
6. Меры по обеспечению безопасности персональных данных при их обработке
6.1. При обработке персональных данных Компания принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.2. Обеспечение безопасности персональных данных достигается, в частности:
определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
учетом машинных носителей персональных данных;
обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета действий, совершаемых с персональными данными в информационной системе персональных данных;
контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
7. Актуализация документа
Основными механизмами для пересмотра и совершенствования настоящей Политики являются внутренние и внешние аудиты ИБ, а также анализ изменения законодательства Российской Федерации в области персональных данных, анализ системы обеспечения информационной безопасности в сочетании с использованием превентивных и корректирующих мер с интервалом не реже одного раза в год.
Согласие на обработку персональных данных
Настоящим я, далее – Субъект персональных данных, во исполнение требований Федерального закона от 27.07.2006 г. № 152ФЗ «О персональных данных» даю свое согласие на обработку с использованием и без средств автоматизации в ООО «Комм Клауд» (далее – Оператор), зарегистрированному по адресу: 141006, Московская область, г. Мытищи, Волковское шоссе, вл. 5А, стр. 1, офис 602, своих персональных данных, указанных при заполнении веб формы на сайте Оператор http:// www.commcloud.ru / (далее – Сайт).
Перечень персональных данных, на обработку которых даётся согласие: фамилия, имя, отчество, номер телефон, адрес электронной почты, место работы, должность.
Цель обработки персональных данных: регистрация Субъекта персональных данных в базе данных Оператора в качестве контактного лица Юридического лица, проведение рекламных и новостных рассылок.
Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) извлечение, использование, передачу (в том числе передачу третьим лицам, не исключая трансграничную передачу, если необходимость в ней возникла в ходе исполнения обязательств), обезличивание, блокирование, удаление, уничтожение персональных данных.
Согласие на обработку персональных данных может быть отозвано Субъектом Персональных данных путем направления письменного заявления в адрес Оператора. Подробнее о порядке осуществления прав предусмотренных ФЗ № 152 «О персональных данных» здесь (ссылка на документ «Порядок осуществления субъектом персональных данных прав предусмотренных ФЗ №152 «О персональных данных»»).
Настоящее Согласие на обработку моих персональных данных, направляемых Оператору, действует бессрочно с момента отправки вэб-формы или до момента отзыва настоящего Согласия.
Оператор принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, а также принимает на себя обязательство сохранения конфиденциальности персональных данных Субъекта ПДн.
Настоящим я, далее – Субъект персональных данных, во исполнение требований Федерального закона от 27.07.2006 г. № 152ФЗ «О персональных данных» даю свое согласие на обработку с использованием и без средств автоматизации в ООО «Комм Клауд» (далее – Оператор), зарегистрированному по адресу: 141006, Московская область, г. Мытищи, Волковское шоссе, вл. 5А, стр. 1, офис 602, своих персональных данных, указанных при заполнении веб формы на сайте Оператор http:// www.commcloud.ru / (далее – Сайт).
Перечень персональных данных, на обработку которых даётся согласие: фамилия, имя, отчество, номер телефон, адрес электронной почты, место работы, должность.
Цель обработки персональных данных: регистрация Субъекта персональных данных в базе данных Оператора в качестве контактного лица Юридического лица, проведение рекламных и новостных рассылок.
Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) извлечение, использование, передачу (в том числе передачу третьим лицам, не исключая трансграничную передачу, если необходимость в ней возникла в ходе исполнения обязательств), обезличивание, блокирование, удаление, уничтожение персональных данных.
Согласие на обработку персональных данных может быть отозвано Субъектом Персональных данных путем направления письменного заявления в адрес Оператора. Подробнее о порядке осуществления прав предусмотренных ФЗ № 152 «О персональных данных» здесь (ссылка на документ «Порядок осуществления субъектом персональных данных прав предусмотренных ФЗ №152 «О персональных данных»»).
Настоящее Согласие на обработку моих персональных данных, направляемых Оператору, действует бессрочно с момента отправки вэб-формы или до момента отзыва настоящего Согласия.
Оператор принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, а также принимает на себя обязательство сохранения конфиденциальности персональных данных Субъекта ПДн.
Порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ №152 «О персональных данных» ООО «Комм Клауд»
УТВЕРЖДЕНО
Приказом № 18 Генерального директора ООО «Комм Клауд»
Попова И. В. от «01» сентября 2021 г.
Редакция 1
Мытищи-2021
1. Назначение и область применения
1.1. Настоящее «Порядок осуществления субъектом персональных данных прав предусмотренных ФЗ № 152 «О персональных данных» (далее - Порядок) написан во исполнение «Политики по обработке персональных данных ООО «Комм Клауд», определяет порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ №152 «О персональных данных», описывает механизмы взаимодействия с субъектами ПДн по обращениям в ООО «Комм Клауд» (далее – Компания) по вопросу осуществления субъектами ПДн их прав, предусмотренных законодательством по обработке ПДн.
1.2. Настоящий Порядок предназначен для информирования Субъектов ПДн о механизмах реализации их прав, предусмотренных ФЗ №152 «О персональных данных» и распространяется на все процессы обработки ПДн в Компании.
УТВЕРЖДЕНО
Приказом № 18 Генерального директора ООО «Комм Клауд»
Попова И. В. от «01» сентября 2021 г.
Редакция 1
Мытищи-2021
1. Назначение и область применения
1.1. Настоящее «Порядок осуществления субъектом персональных данных прав предусмотренных ФЗ № 152 «О персональных данных» (далее - Порядок) написан во исполнение «Политики по обработке персональных данных ООО «Комм Клауд», определяет порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ №152 «О персональных данных», описывает механизмы взаимодействия с субъектами ПДн по обращениям в ООО «Комм Клауд» (далее – Компания) по вопросу осуществления субъектами ПДн их прав, предусмотренных законодательством по обработке ПДн.
1.2. Настоящий Порядок предназначен для информирования Субъектов ПДн о механизмах реализации их прав, предусмотренных ФЗ №152 «О персональных данных» и распространяется на все процессы обработки ПДн в Компании.
Полный текст
2. Термины, определения и сокращения
В настоящем Документе используются следующие термины, определения и сокращения:
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных. Под субъектом персональных данных понимается как сам субъект персональных данных, так и его законный представитель: родитель, опекун, попечитель и иные лица, полномочия которых установлены действующим федеральным законом либо законом РФ.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
ФЗ № 152 «О персональных данных» - Федеральный закон от 27 июля 2006 года № 152 «О персональных данных».
Общие термины, определения и сокращения в области информационной безопасности приведены в документе «Политика информационной безопасности ООО «Комм Клауд».
3. Права субъекта персональных данных
В соответствии с ФЗ №152 «О персональных данных» субъект ПДн имеет право:
3.1. Получить следующие сведения, касающиеся обработки ПДн Компанией:
подтверждение факта обработки ПДн Компанией;
правовые основания и цели обработки ПДн;
цели и применяемые Компанией способы обработки ПДн
наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Компанией или на основании федерального закона;
обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки ПДн, в том числе сроки их хранения;
порядок осуществления субъектом ПДн прав, предусмотренных ФЗ №152 «О персональных данных»;
информацию об осуществленной или предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу.
Приложение A и Приложение B содержат формы запросов субъектов ПДн, подаваемых на бумажном носителе и в виде электронного документа.
3.2. Потребовать от Компании уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Приложение C и Приложение D содержат формы требований об уточнении, блокировании или уничтожении ПДн, подаваемых на бумажном носителе и в виде электронного документа.
3.3. Заявить возражение против принятия в отношении себя решений, порождающих юридические последствия на основе исключительно автоматизированной обработки ПДн. Приложение E и Приложение F содержат формы возражений, подаваемых на бумажном носителе и в виде электронного документа.
3.4. Отозвать согласие на обработку ПДн. Приложение G и Приложение H содержат формы отзыва согласий на обработку ПДн, подаваемых на бумажном носителе и в виде электронного документа.
3.5. В свободной форме отозвать согласие на включение ПДн в общедоступные источники
4. Порядок осуществления праВ
4.1. Обращение субъекта ПДн в Компанию в целях реализации своих прав, установленных ФЗ №152 «О персональных данных», может осуществляться:
в форме личного обращения (при непосредственном посещении офиса или отделения Компании);
в виде запроса как в письменной, так и в электронной форме.
4.2. При поступлении личного обращения субъекта ПДн, сотрудник Компании, уполномоченный отправлять и принимать почтовые сообщения выдает субъекту ПДн принятые в Компании формы письменных обращений. Форма обращения заполняется субъектом ПДн с проставлением собственноручной подписи в присутствии вышеуказанного работника Компании. Работник Компании, получив обращение по установленной форме, сверяет указанные в нем сведения об основном документе, удостоверяющем личность субъекта ПДн; основания, по которым лицо выступает в качестве законного представителя субъекта ПДн, и представленные при обращении оригиналы данного документа.
4.3. К запросам в письменной форме субъектов ПДн относятся любые письменные обращения субъектов ПДн, направленные в адрес Компании, в том числе обращения, отправленные через отделения почтовой связи.
4.4. К запросам в электронной форме относятся обращения (электронные документы), направленные на электронный адрес Компании. Обращение в форме электронного документа должно быть подписано электронной подписью в соответствии с законодательством Российской Федерации.
4.5. Запрос на отзыв согласия на включение ПДн в общедоступные источники подается в письменном виде в свободной форме.
4.6. Ответ на обращение отправляется субъекту ПДн в письменном виде по почте на адрес, указанный в обращении, вне зависимости от формы запроса.
4.7. Срок формирования ответа и передачи в почтовое отделение для отправки не может превышать тридцати дней с даты получения Компанией обращения.
4.8. Срок внесения необходимых изменений в ПДн, являющиеся неполными, неточными или неактуальными не может превышать семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными.
4.9. Срок уничтожения ПДн, являющихся незаконно полученными или не являющихся необходимыми для заявленной цели обработки не может превышать семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
4.10. Сведения предоставляются субъекту ПДн в доступной форме и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн.
5. Зоны ответственности
5.1. Право субъекта ПДн на доступ к своим ПДн ограничивается в случае, если:
обработка ПДн, включая ПДн, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма;
доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц;
5.2. В случае если сведения, касающиеся обработки ПДн, а также обрабатываемые ПДн предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе направить повторный запрос в целях получения сведений, касающихся обработки ПДн, и ознакомления с такими ПДн не ранее чем через тридцать дней с момента первоначального запроса [1] .
5.3. Субъект ПДн вправе направить в Компанию повторный запрос в целях получения сведений, касающихся обработки персональных данных, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 5.2 в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального запроса. Повторный запрос должен содержать обоснование его направления.
5.4. Компания вправе мотивированно отказать субъекту ПДн в выполнении повторного запроса, не соответствующего условиям, предусмотренным пп. 5.2 и 5.3.
6. Актуализация документа
Основными механизмами для пересмотра и совершенствования настоящего документа являются внутренние и внешние аудиты ИБ, а также анализ системы обеспечения информационной безопасности Службой ИБ в сочетании с использованием превентивных и корректирующих мер с интервалом не реже одного раза в два года.
Приложение A.
Запрос на предоставление информации об обработке ПДн, подаваемый в письменном виде
Оператору персональных данных
ООО «Комм Клауд»
Адрес: ______________________________
От ________________________________________________________________________ (фамилия, имя, отчество) паспорт _______________________ выданный _____________________________ (номер) (дата выдачи) ____________________________________________________________________________ (место выдачи паспорта) Адрес: ____________________________________________________________________ (адрес места жительства) Основания, по которым лицо выступает в качестве законного представителя субъекта персональных данных: ________________________________________________________
Сведения, подтверждающие факт обработки персональных данных ООО «Комм Клауд»: _____________________________________________________________________________
_____________________________________________________________________________
Запрос на предоставление информации об обработке персональных данных
В соответствии со ст. 14 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» прошу предоставить мне следующую информацию*, касающуюся обработки моих персональных данных:
¨ подтвердить факт обработки моих персональных данных;
¨ правовые основания и цели обработки моих персональных данных;
¨ наименование и местонахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к моим персональным данным или которым могут быть раскрыты мои персональные данные на основании договора или на основании федерального закона;
¨ относящиеся ко мне обрабатываемые персональные данные, источник их получения;
¨ сроки обработки моих персональных данных, в том числе сроки их хранения;
¨ порядок осуществления мной прав, предусмотренных Федеральным законом «О персональных данных»;
¨ информацию об осуществленной или предполагаемой трансграничной передаче моих персональных данных;
¨ наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку моих персональных данных если обработка поручена или будет поручена такому лицу
¨ ____________________________________________________________.
(иные сведения)
Данный запрос является первичным / повторным, на основании того, что: __________________________________________________________________________________
(ОБЯЗАТЕЛЬНО: указать причину направления повторного запроса)
Указанные сведения прошу предоставить по адресу:
__________________________________________________________________________________
(дата) (подпись)
Приложение B.
Запрос на предоставление информации об обработке ПДн, подаваемый в электронной форме
Оператору персональных данных
ООО «Комм Клауд»
Адрес: ______________________________
От ________________________________________________________________________ (фамилия, имя, отчество) паспорт _______________________ выданный _____________________________ (номер) (дата выдачи) ____________________________________________________________________________ (место выдачи паспорта) Адрес: ____________________________________________________________________ (адрес места жительства) Основания, по которым лицо выступает в качестве законного представителя субъекта персональных данных: ________________________________________________________
Сведения, подтверждающие факт обработки персональных данных ООО «Комм Клауд»: _____________________________________________________________________________
_____________________________________________________________________________
Запрос на предоставление информации об обработке персональных данных
В соответствии со ст. 14 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» прошу предоставить мне следующую информацию*, касающуюся обработки моих персональных данных:
¨ подтвердить факт обработки моих персональных данных;
¨ правовые основания и цели обработки моих персональных данных;
¨ наименование и местонахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к моим персональным данным или которым могут быть раскрыты мои персональные данные на основании договора или на основании федерального закона;
¨ относящиеся ко мне обрабатываемые персональные данные, источник их получения;
¨ сроки обработки моих персональных данных, в том числе сроки их хранения;
¨ порядок осуществления мной прав, предусмотренных Федеральным законом «О персональных данных»;
¨ информацию об осуществленной или предполагаемой трансграничной передаче моих персональных данных;
¨ наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку моих персональных данных если обработка поручена или будет поручена такому лицу
¨ ____________________________________________________________.
(иные сведения)
Данный запрос является первичным / повторным, на основании того, что: __________________________________________________________________________________
(ОБЯЗАТЕЛЬНО: указать причину направления повторного запроса)
Указанные сведения прошу предоставить по адресу:
__________________________________________________________________________________
Приложение C.
Требование об уточнении/уничтожении персональных данных, подаваемое в письменном виде
Оператору персональных данных
ООО «Комм Клауд»
Адрес: ______________________________
От ________________________________________________________________________ (фамилия, имя, отчество) паспорт _______________________ выданный _____________________________ (номер) (дата выдачи) ____________________________________________________________________________ (место выдачи паспорта) Адрес: ____________________________________________________________________ (адрес места жительства) Основания, по которым лицо выступает в качестве законного представителя субъекта персональных данных: ________________________________________________________
Сведения, подтверждающие факт обработки персональных данных ООО «Комм Клауд»: _____________________________________________________________________________
_____________________________________________________________________________
В соответствии с положениями ст. 14 и ст. 21 Федерального закона от 27.07.2006 г.ФЗ № 152-ФЗ от 27.07.2006 г. «О персональных данных» прошу уточнить/уничтожить мои персональные данные в связи с тем, что:
(указать причину: персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; с персональными данными совершаются неправомерные действия – указать какие) В случае уточнения персональных данных, указать информацию, подлежащую исправлению: ________________________________________________________________________________ ________________________________________________________________________________ Прошу предоставить ответ по адресу: ________________________________________________________________________________ (дата) (подпись)
Приложение D.
Требование об уточнении/уничтожении персональных данных, подаваемое в электронной форме
Оператору персональных данных
ООО «Комм Клауд»
Адрес: ______________________________
От ________________________________________________________________________ (фамилия, имя, отчество) паспорт _______________________ выданный _____________________________ (номер) (дата выдачи) ____________________________________________________________________________ (место выдачи паспорта) Адрес: ____________________________________________________________________ (адрес места жительства) Основания, по которым лицо выступает в качестве законного представителя субъекта персональных данных: ________________________________________________________
Сведения, подтверждающие факт обработки персональных данных ООО «Комм Клауд»: _____________________________________________________________________________
_____________________________________________________________________________
В соответствии с положениями ст. 14 и ст. 21 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» прошу уточнить/уничтожить мои персональные данные в связи с тем, что:
(указать причину: персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; с персональными данными совершаются неправомерные действия – указать какие) В случае уточнения персональных данных, указать информацию, подлежащую исправлению: ________________________________________________________________________________
________________________________________________________________________________
Прошу предоставить ответ по адресу:
_________________________________________________________________________________
Приложение E.
Возражение против принятия решений на основании исключительно автоматизированной обработки ПДн, подаваемое в письменном виде
Оператору персональных данных
ООО «Комм Клауд»
Адрес: ______________________________
От ____________________________________________________________________________ (фамилия, имя, отчество) паспорт _______________________ выданный ________________________________ (номер) (дата выдачи) ________________________________________________________________________________ (место выдачи паспорта) Адрес: ________________________________________________________________________ (адрес места жительства) Основания, по которым лицо выступает в качестве законного представителя субъекта персональных данных: ____________________________________________________________
Сведения, подтверждающие факт обработки персональных данных ООО «Комм Клауд»: ________________________________________________________________________________
________________________________________________________________________________
ВОЗРАЖЕНИЕ
против принятия решений на основании
исключительно автоматизированной обработки ПДн
Прошу исключить принятие в отношении меня юридически значимых решений на основании исключительно автоматизированной обработки моих персональных данных.
Прошу предоставить ответ по адресу:
_________________________________________________________________________________
(дата) (подпись)
Приложение F.
Возражение против принятия решений на основании исключительно автоматизированной обработки ПДн, подаваемое в электронной форме
Оператору персональных данных
ООО «Комм Клауд»
Адрес: ______________________________
От ____________________________________________________________________________ (фамилия, имя, отчество) паспорт _______________________ выданный ________________________________ (номер) (дата выдачи) ________________________________________________________________________________ (место выдачи паспорта) Адрес: ________________________________________________________________________ (адрес места жительства) Основания, по которым лицо выступает в качестве законного представителя субъекта персональных данных: ____________________________________________________________
Сведения, подтверждающие факт обработки персональных данных ООО «Комм Клауд»: ________________________________________________________________________________
________________________________________________________________________________
ВОЗРАЖЕНИЕ
против принятия решений на основании
исключительно автоматизированной
обработки ПДн
Прошу исключить принятие в отношении меня юридически значимых решений на основании исключительно автоматизированной обработки моих персональных данных.
Прошу предоставить ответ по адресу:
_________________________________________________________________________________
Приложение G. Отзыв согласия на обработку ПДн, подаваемый в письменном виде
Оператору персональных данных
ООО «Комм Клауд»
Адрес: ______________________________
От ______________________________________________________________________________ (фамилия, имя, отчество) паспорт _______________________ выданный __________________________________ (номер) (дата выдачи) __________________________________________________________________________________ (место выдачи паспорта) Адрес: __________________________________________________________________________ (адрес места жительства) Основания, по которым лицо выступает в качестве законного представителя субъекта персональных данных: _____________________________________________________________
Сведения, подтверждающие факт обработки персональных данных ООО «Комм Клауд»: _________________________________________________________________________________
_________________________________________________________________________________
ЗАЯВЛЕНИЕ
об отзыве согласия на обработку персональных данных
Прошу прекратить обработку моих персональных данных, осуществляемую в целях: _________________________________________________________________________ (цели обработки персональных данных, в отношении которых отзывается согласие) по причине: _________________________________________________________________________ (НЕОБЯЗАТЕЛЬНО: указать причину отзыва согласия) (дата) (подпись)
Приложение H.
Отзыв согласия на обработку ПДн, подаваемый в электронной форме
Оператору персональных данных
ООО «Комм Клауд»
Адрес: ______________________________
От ____________________________________________________________________________ (фамилия, имя, отчество) паспорт _______________________ выданный ________________________________ (номер) (дата выдачи) ________________________________________________________________________________ (место выдачи паспорта) Адрес: ________________________________________________________________________ (адрес места жительства) Основания, по которым лицо выступает в качестве законного представителя субъекта персональных данных: ______________________________________________________________
Сведения, подтверждающие факт обработки персональных данных ООО «Комм Клауд»: __________________________________________________________________________________
__________________________________________________________________________________
ЗАЯВЛЕНИЕ
об отзыве согласия на обработку
персональных данных
Прошу прекратить обработку моих персональных данных, осуществляемую в целях: ________________________________________________________________________ (цели обработки персональных данных, в отношении которых отзывается согласие) по причине: ________________________________________________________________________ (НЕОБЯЗАТЕЛЬНО: указать причину отзыва согласия)
[1] Если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.
* отметить нужные пункты
* отметить нужные пункты
В настоящем Документе используются следующие термины, определения и сокращения:
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных. Под субъектом персональных данных понимается как сам субъект персональных данных, так и его законный представитель: родитель, опекун, попечитель и иные лица, полномочия которых установлены действующим федеральным законом либо законом РФ.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
ФЗ № 152 «О персональных данных» - Федеральный закон от 27 июля 2006 года № 152 «О персональных данных».
Общие термины, определения и сокращения в области информационной безопасности приведены в документе «Политика информационной безопасности ООО «Комм Клауд».
3. Права субъекта персональных данных
В соответствии с ФЗ №152 «О персональных данных» субъект ПДн имеет право:
3.1. Получить следующие сведения, касающиеся обработки ПДн Компанией:
подтверждение факта обработки ПДн Компанией;
правовые основания и цели обработки ПДн;
цели и применяемые Компанией способы обработки ПДн
наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Компанией или на основании федерального закона;
обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки ПДн, в том числе сроки их хранения;
порядок осуществления субъектом ПДн прав, предусмотренных ФЗ №152 «О персональных данных»;
информацию об осуществленной или предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу.
Приложение A и Приложение B содержат формы запросов субъектов ПДн, подаваемых на бумажном носителе и в виде электронного документа.
3.2. Потребовать от Компании уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Приложение C и Приложение D содержат формы требований об уточнении, блокировании или уничтожении ПДн, подаваемых на бумажном носителе и в виде электронного документа.
3.3. Заявить возражение против принятия в отношении себя решений, порождающих юридические последствия на основе исключительно автоматизированной обработки ПДн. Приложение E и Приложение F содержат формы возражений, подаваемых на бумажном носителе и в виде электронного документа.
3.4. Отозвать согласие на обработку ПДн. Приложение G и Приложение H содержат формы отзыва согласий на обработку ПДн, подаваемых на бумажном носителе и в виде электронного документа.
3.5. В свободной форме отозвать согласие на включение ПДн в общедоступные источники
4. Порядок осуществления праВ
4.1. Обращение субъекта ПДн в Компанию в целях реализации своих прав, установленных ФЗ №152 «О персональных данных», может осуществляться:
в форме личного обращения (при непосредственном посещении офиса или отделения Компании);
в виде запроса как в письменной, так и в электронной форме.
4.2. При поступлении личного обращения субъекта ПДн, сотрудник Компании, уполномоченный отправлять и принимать почтовые сообщения выдает субъекту ПДн принятые в Компании формы письменных обращений. Форма обращения заполняется субъектом ПДн с проставлением собственноручной подписи в присутствии вышеуказанного работника Компании. Работник Компании, получив обращение по установленной форме, сверяет указанные в нем сведения об основном документе, удостоверяющем личность субъекта ПДн; основания, по которым лицо выступает в качестве законного представителя субъекта ПДн, и представленные при обращении оригиналы данного документа.
4.3. К запросам в письменной форме субъектов ПДн относятся любые письменные обращения субъектов ПДн, направленные в адрес Компании, в том числе обращения, отправленные через отделения почтовой связи.
4.4. К запросам в электронной форме относятся обращения (электронные документы), направленные на электронный адрес Компании. Обращение в форме электронного документа должно быть подписано электронной подписью в соответствии с законодательством Российской Федерации.
4.5. Запрос на отзыв согласия на включение ПДн в общедоступные источники подается в письменном виде в свободной форме.
4.6. Ответ на обращение отправляется субъекту ПДн в письменном виде по почте на адрес, указанный в обращении, вне зависимости от формы запроса.
4.7. Срок формирования ответа и передачи в почтовое отделение для отправки не может превышать тридцати дней с даты получения Компанией обращения.
4.8. Срок внесения необходимых изменений в ПДн, являющиеся неполными, неточными или неактуальными не может превышать семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными.
4.9. Срок уничтожения ПДн, являющихся незаконно полученными или не являющихся необходимыми для заявленной цели обработки не может превышать семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
4.10. Сведения предоставляются субъекту ПДн в доступной форме и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн.
5. Зоны ответственности
5.1. Право субъекта ПДн на доступ к своим ПДн ограничивается в случае, если:
обработка ПДн, включая ПДн, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма;
доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц;
5.2. В случае если сведения, касающиеся обработки ПДн, а также обрабатываемые ПДн предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе направить повторный запрос в целях получения сведений, касающихся обработки ПДн, и ознакомления с такими ПДн не ранее чем через тридцать дней с момента первоначального запроса [1] .
5.3. Субъект ПДн вправе направить в Компанию повторный запрос в целях получения сведений, касающихся обработки персональных данных, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 5.2 в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального запроса. Повторный запрос должен содержать обоснование его направления.
5.4. Компания вправе мотивированно отказать субъекту ПДн в выполнении повторного запроса, не соответствующего условиям, предусмотренным пп. 5.2 и 5.3.
6. Актуализация документа
Основными механизмами для пересмотра и совершенствования настоящего документа являются внутренние и внешние аудиты ИБ, а также анализ системы обеспечения информационной безопасности Службой ИБ в сочетании с использованием превентивных и корректирующих мер с интервалом не реже одного раза в два года.
Приложение A.
Запрос на предоставление информации об обработке ПДн, подаваемый в письменном виде
Оператору персональных данных
ООО «Комм Клауд»
Адрес: ______________________________
От ________________________________________________________________________ (фамилия, имя, отчество) паспорт _______________________ выданный _____________________________ (номер) (дата выдачи) ____________________________________________________________________________ (место выдачи паспорта) Адрес: ____________________________________________________________________ (адрес места жительства) Основания, по которым лицо выступает в качестве законного представителя субъекта персональных данных: ________________________________________________________
Сведения, подтверждающие факт обработки персональных данных ООО «Комм Клауд»: _____________________________________________________________________________
_____________________________________________________________________________
Запрос на предоставление информации об обработке персональных данных
В соответствии со ст. 14 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» прошу предоставить мне следующую информацию*, касающуюся обработки моих персональных данных:
¨ подтвердить факт обработки моих персональных данных;
¨ правовые основания и цели обработки моих персональных данных;
¨ наименование и местонахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к моим персональным данным или которым могут быть раскрыты мои персональные данные на основании договора или на основании федерального закона;
¨ относящиеся ко мне обрабатываемые персональные данные, источник их получения;
¨ сроки обработки моих персональных данных, в том числе сроки их хранения;
¨ порядок осуществления мной прав, предусмотренных Федеральным законом «О персональных данных»;
¨ информацию об осуществленной или предполагаемой трансграничной передаче моих персональных данных;
¨ наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку моих персональных данных если обработка поручена или будет поручена такому лицу
¨ ____________________________________________________________.
(иные сведения)
Данный запрос является первичным / повторным, на основании того, что: __________________________________________________________________________________
(ОБЯЗАТЕЛЬНО: указать причину направления повторного запроса)
Указанные сведения прошу предоставить по адресу:
__________________________________________________________________________________
(дата) (подпись)
Приложение B.
Запрос на предоставление информации об обработке ПДн, подаваемый в электронной форме
Оператору персональных данных
ООО «Комм Клауд»
Адрес: ______________________________
От ________________________________________________________________________ (фамилия, имя, отчество) паспорт _______________________ выданный _____________________________ (номер) (дата выдачи) ____________________________________________________________________________ (место выдачи паспорта) Адрес: ____________________________________________________________________ (адрес места жительства) Основания, по которым лицо выступает в качестве законного представителя субъекта персональных данных: ________________________________________________________
Сведения, подтверждающие факт обработки персональных данных ООО «Комм Клауд»: _____________________________________________________________________________
_____________________________________________________________________________
Запрос на предоставление информации об обработке персональных данных
В соответствии со ст. 14 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» прошу предоставить мне следующую информацию*, касающуюся обработки моих персональных данных:
¨ подтвердить факт обработки моих персональных данных;
¨ правовые основания и цели обработки моих персональных данных;
¨ наименование и местонахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к моим персональным данным или которым могут быть раскрыты мои персональные данные на основании договора или на основании федерального закона;
¨ относящиеся ко мне обрабатываемые персональные данные, источник их получения;
¨ сроки обработки моих персональных данных, в том числе сроки их хранения;
¨ порядок осуществления мной прав, предусмотренных Федеральным законом «О персональных данных»;
¨ информацию об осуществленной или предполагаемой трансграничной передаче моих персональных данных;
¨ наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку моих персональных данных если обработка поручена или будет поручена такому лицу
¨ ____________________________________________________________.
(иные сведения)
Данный запрос является первичным / повторным, на основании того, что: __________________________________________________________________________________
(ОБЯЗАТЕЛЬНО: указать причину направления повторного запроса)
Указанные сведения прошу предоставить по адресу:
__________________________________________________________________________________
Приложение C.
Требование об уточнении/уничтожении персональных данных, подаваемое в письменном виде
Оператору персональных данных
ООО «Комм Клауд»
Адрес: ______________________________
От ________________________________________________________________________ (фамилия, имя, отчество) паспорт _______________________ выданный _____________________________ (номер) (дата выдачи) ____________________________________________________________________________ (место выдачи паспорта) Адрес: ____________________________________________________________________ (адрес места жительства) Основания, по которым лицо выступает в качестве законного представителя субъекта персональных данных: ________________________________________________________
Сведения, подтверждающие факт обработки персональных данных ООО «Комм Клауд»: _____________________________________________________________________________
_____________________________________________________________________________
В соответствии с положениями ст. 14 и ст. 21 Федерального закона от 27.07.2006 г.ФЗ № 152-ФЗ от 27.07.2006 г. «О персональных данных» прошу уточнить/уничтожить мои персональные данные в связи с тем, что:
(указать причину: персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; с персональными данными совершаются неправомерные действия – указать какие) В случае уточнения персональных данных, указать информацию, подлежащую исправлению: ________________________________________________________________________________ ________________________________________________________________________________ Прошу предоставить ответ по адресу: ________________________________________________________________________________ (дата) (подпись)
Приложение D.
Требование об уточнении/уничтожении персональных данных, подаваемое в электронной форме
Оператору персональных данных
ООО «Комм Клауд»
Адрес: ______________________________
От ________________________________________________________________________ (фамилия, имя, отчество) паспорт _______________________ выданный _____________________________ (номер) (дата выдачи) ____________________________________________________________________________ (место выдачи паспорта) Адрес: ____________________________________________________________________ (адрес места жительства) Основания, по которым лицо выступает в качестве законного представителя субъекта персональных данных: ________________________________________________________
Сведения, подтверждающие факт обработки персональных данных ООО «Комм Клауд»: _____________________________________________________________________________
_____________________________________________________________________________
В соответствии с положениями ст. 14 и ст. 21 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» прошу уточнить/уничтожить мои персональные данные в связи с тем, что:
(указать причину: персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; с персональными данными совершаются неправомерные действия – указать какие) В случае уточнения персональных данных, указать информацию, подлежащую исправлению: ________________________________________________________________________________
________________________________________________________________________________
Прошу предоставить ответ по адресу:
_________________________________________________________________________________
Приложение E.
Возражение против принятия решений на основании исключительно автоматизированной обработки ПДн, подаваемое в письменном виде
Оператору персональных данных
ООО «Комм Клауд»
Адрес: ______________________________
От ____________________________________________________________________________ (фамилия, имя, отчество) паспорт _______________________ выданный ________________________________ (номер) (дата выдачи) ________________________________________________________________________________ (место выдачи паспорта) Адрес: ________________________________________________________________________ (адрес места жительства) Основания, по которым лицо выступает в качестве законного представителя субъекта персональных данных: ____________________________________________________________
Сведения, подтверждающие факт обработки персональных данных ООО «Комм Клауд»: ________________________________________________________________________________
________________________________________________________________________________
ВОЗРАЖЕНИЕ
против принятия решений на основании
исключительно автоматизированной обработки ПДн
Прошу исключить принятие в отношении меня юридически значимых решений на основании исключительно автоматизированной обработки моих персональных данных.
Прошу предоставить ответ по адресу:
_________________________________________________________________________________
(дата) (подпись)
Приложение F.
Возражение против принятия решений на основании исключительно автоматизированной обработки ПДн, подаваемое в электронной форме
Оператору персональных данных
ООО «Комм Клауд»
Адрес: ______________________________
От ____________________________________________________________________________ (фамилия, имя, отчество) паспорт _______________________ выданный ________________________________ (номер) (дата выдачи) ________________________________________________________________________________ (место выдачи паспорта) Адрес: ________________________________________________________________________ (адрес места жительства) Основания, по которым лицо выступает в качестве законного представителя субъекта персональных данных: ____________________________________________________________
Сведения, подтверждающие факт обработки персональных данных ООО «Комм Клауд»: ________________________________________________________________________________
________________________________________________________________________________
ВОЗРАЖЕНИЕ
против принятия решений на основании
исключительно автоматизированной
обработки ПДн
Прошу исключить принятие в отношении меня юридически значимых решений на основании исключительно автоматизированной обработки моих персональных данных.
Прошу предоставить ответ по адресу:
_________________________________________________________________________________
Приложение G. Отзыв согласия на обработку ПДн, подаваемый в письменном виде
Оператору персональных данных
ООО «Комм Клауд»
Адрес: ______________________________
От ______________________________________________________________________________ (фамилия, имя, отчество) паспорт _______________________ выданный __________________________________ (номер) (дата выдачи) __________________________________________________________________________________ (место выдачи паспорта) Адрес: __________________________________________________________________________ (адрес места жительства) Основания, по которым лицо выступает в качестве законного представителя субъекта персональных данных: _____________________________________________________________
Сведения, подтверждающие факт обработки персональных данных ООО «Комм Клауд»: _________________________________________________________________________________
_________________________________________________________________________________
ЗАЯВЛЕНИЕ
об отзыве согласия на обработку персональных данных
Прошу прекратить обработку моих персональных данных, осуществляемую в целях: _________________________________________________________________________ (цели обработки персональных данных, в отношении которых отзывается согласие) по причине: _________________________________________________________________________ (НЕОБЯЗАТЕЛЬНО: указать причину отзыва согласия) (дата) (подпись)
Приложение H.
Отзыв согласия на обработку ПДн, подаваемый в электронной форме
Оператору персональных данных
ООО «Комм Клауд»
Адрес: ______________________________
От ____________________________________________________________________________ (фамилия, имя, отчество) паспорт _______________________ выданный ________________________________ (номер) (дата выдачи) ________________________________________________________________________________ (место выдачи паспорта) Адрес: ________________________________________________________________________ (адрес места жительства) Основания, по которым лицо выступает в качестве законного представителя субъекта персональных данных: ______________________________________________________________
Сведения, подтверждающие факт обработки персональных данных ООО «Комм Клауд»: __________________________________________________________________________________
__________________________________________________________________________________
ЗАЯВЛЕНИЕ
об отзыве согласия на обработку
персональных данных
Прошу прекратить обработку моих персональных данных, осуществляемую в целях: ________________________________________________________________________ (цели обработки персональных данных, в отношении которых отзывается согласие) по причине: ________________________________________________________________________ (НЕОБЯЗАТЕЛЬНО: указать причину отзыва согласия)
[1] Если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.
* отметить нужные пункты
* отметить нужные пункты