Политика в отношении обработки и защиты персональных данных

1.  Общие положения

 

1.1.  Настоящая Политика в отношении обработки персональных данных (далее - Политика) АО «ОИРП» (далее – Оператор) разработана в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и иными федеральными законами и нормативно-правовыми актами, и действует в отношении всех персональных данных, которые Оператор может получить от субъектов персональных данных.

1.2.  Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных Оператором, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.

1.3.  Положения Политики распространяются на отношения по обработке и защите персональных данных, полученных Оператором как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите персональных данных, полученных до ее утверждения.

1.4.  Политика раскрывает основные категории персональных данных, обрабатываемых Оператором, цели, способы и принципы обработки Оператором персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке.

1.4.1.  Политика является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке персональных данных.

 

2. Правовые основания обработки персональных данных

 

2.1.  Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами Российской Федерации:

- Конституцией Российской Федерации;

- Трудовым кодексом Российской Федерации;

- Гражданским кодексом Российской Федерации;

- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

- Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

- иными нормативными правовыми актами.

 

3. Цели обработки персональных данных

 

3.1.  Оператор обрабатывает персональные данные исключительно в следующих целях:

3.1.1. Осуществления деятельности, предусмотренной Уставом Оператора и действующим законодательством РФ;

3.1.2.  Заключения, исполнения и прекращения гражданско-правовых договоров с физическими и юридическими лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных Уставом Оператора и действующим законодательством РФ.

3.1.3. Организации кадрового учета и делопроизводства Оператора, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам.

 

4.  Категории обрабатываемых персональных данных, источники их получения, сроки обработки и хранения

 

4.1.  В информационных системах персональных данных Оператора обрабатываются следующие категории персональных данных:

4.1.1.  Персональные данные физических лиц в связи с реализацией трудового законодательства (работники/претенденты на вакантные должности).

4.1.2.  Персональные данные клиентов и контрагентов Оператора.

4.2.  Сроки обработки и хранения персональных данных определяются в соответствии с Законом «О персональных данных»

 

5.   Основные принципы обработки, передачи и хранения персональных данных

 

5.1.  Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и настоящей Политикой:

- законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;

- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

- обработки только тех персональных данных, которые отвечают целям их обработки;

- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных;

- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

5.2.  Оператор не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).

5.3.  Оператор не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

5.4.  Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.

5.5.  Оператор производит передачу персональных данных третьим лицам на основании соответствующего соглашения и только с согласия субъектов персональных данных.

5.6.  При необходимости Оператором будут созданы общедоступные источники персональных данных (справочники, адресные книги). Персональные данные, сообщаемые субъектом (фамилия, имя, отчество, год и место рождения, адрес, сведения о профессии и др.), включаются в такие источники только с письменного согласия субъекта персональных данных.

 

6.  Сведения о третьих лицах, участвующих в обработке персональных данных

 

6.1.  В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Оператор в ходе своей деятельности предоставляет персональные данные следующим организациям и учреждениям:

6.1.1.  в судебные органы в связи с осуществлением правосудия,

6.1.2.  в органы государственной безопасности,

6.1.3.  в органы полиции и следственные органы,

6.1.4.  в иные органы и учреждения, в случаях, установленных нормативными правовыми актами, обязательными для исполнения.

6.2.  Оператор не поручает обработку персональных данных другим лицам на основании договора.

 

7.  Меры по обеспечению безопасности персональных данных при их обработке

 

7.1.  Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:

7.1.1.    Назначением ответственных за организацию обработки персональных данных.

7.1.2. Осуществлением внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам.

7.1.3. Ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и (или) обучением указанных сотрудников.

7.1.4. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

7.1.5. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.

7.1.6.  Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.

7.1.7.  Выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.

7.1.8. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

7.1.9.  иными необходимыми мерами.

 

8.  Права субъектов персональных данных

 

8.1.  Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.

8.2.  Субъект персональных данных вправе требовать от Оператора, который их обрабатывает, уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.3.  Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

8.4.  Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

 

9.  Заключительные положения

 

9.1.  Иные права и обязанности Оператора в связи с обработкой персональных данных определяются законодательством Российской Федерации в области персональных данных.

9.2.  Настоящая Политика является локальным нормативным актом Оператора. Настоящая Политика является общедоступной. Общедоступность настоящей Политики обеспечивается публикацией на официальном сайте Оператора: oirp.ru.         

9.3.  Настоящая Политика может быть пересмотрена в любом из следующих случаев:

- при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;

- в случаях получения предписаний от компетентных государственных органов на устранение несоответствий, затрагивающих область действия Политики; по решению руководства Оператора;

- при изменении целей и сроков обработки персональных данных;

- ри изменении организационной структуры, структуры информационных и/или телекоммуникационных систем (или введении новых);

- при применении новых технологий обработки и защиты персональных данных (в т. ч. передачи, хранения);

- при появлении необходимости в изменении процесса обработки персональных данных, связанной с деятельностью Оператора.

9.4.  В случае неисполнения положений настоящей Политики Оператор и его работники несут ответственность в соответствии с действующим законодательством Российской Федерации.

9.5.  Контроль исполнения требований настоящей Политики осуществляется лицами, ответственными за организацию обработки персональных данных, а также за безопасность персональных данных.

Copyright © 2013-2016 АО “Обь-Иртышское речное пароходство”