Регламент обработки персональных данных и реализуемых требований к защите персональных
данных.
Введение:
Настоящий Регламент ООО «ПИВОВАРЕННАЯ КОМПАНИЯ «БАЛТИКА» в отношении обработки
персональных данных (далее по тексту – Регламент) является официальным документом.
Настоящий Регламент является открытым документом и предназначен для ознакомления
неограниченного круга лиц.
Регламент разработан в соответствии с целями, задачами и принципами обеспечения
безопасности персональных данных в ООО «ПИВОВАРЕННАЯ КОМПАНИЯ «БАЛТИКА» (далее –
Компании).
Регламент разработан в соответствии с пп.2 п.1 статьи 18.1 Федерального закона от 27 июля
2006 года №152-ФЗ «О персональных данных» и определяет политику Компании в отношении
обработки информации о субъектах персональных данных, которую Компания может
обрабатывать при осуществлении своей деятельности.
1. Общие положения
1.1. Цель и область применения
1.1.1. Целью настоящего Регламента является обеспечение безопасности персональных данных
в Компании в соответствии с требованиями действующего законодательства в сфере защиты
персональных данных, обеспечение безопасности персональных данных, обрабатываемых в
Компании, от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных,
минимизация ущерба от возможной реализации угроз безопасности персональных данных.
1.1.2. В Регламенте определены перечень субъектов, персональные данные которых
обрабатываются в Компании, цели сбора и обработки персональных данных, условия обработки
персональных данных и их передачи третьим лицам, методы защиты персональных данных,
реализуемые в Компании, права субъектов персональных данных и ответственность Компании,
а также перечень мер, применяемых в Компании в целях обеспечения безопасности
персональных данных при их обработке.
1.1.3. Действие настоящего Регламента распространяется на все подразделения и всех
сотрудников Компании, на все процессы деятельности Компании, в рамках которых
осуществляется обработка персональных данных, как с использованием средств
автоматизации, в том числе в информационно-телекоммуникационных сетях, так и без
использования таких средств.
1.2. Термины, определения и сокращения
- персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу (субъекту персональных данных);
- оператор персональных данных (оператор) – государственный орган, муниципальный орган,
юридическое или физическое лицо, самостоятельно или совместно с другими лицами
организующие и (или) осуществляющие обработку персональных данных, а также
определяющие цели обработки персональных данных, состав персональных данных,
подлежащих обработке, действия (операции), совершаемые с персональными данными;
- обработка персональных данных – любое действие (операция) или совокупность действий
(операций) с персональными данными, совершаемых с использованием средств автоматизации
или без их использования. Обработка персональных данных включает в себя, в том числе:
- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение
- использование;
- передача (распространение, предоставление, доступ);
- обезличивание (в случаях, разрешенных законодательством РФ);
- блокирование;
- удаление;
- уничтожение.
- автоматизированная обработка персональных данных – обработка персональных данных с
помощью средств вычислительной техники;
- распространение персональных данных – действия, направленные на раскрытие
персональных данных неопределенному кругу лиц;
- предоставление персональных данных – действия, направленные на раскрытие персональных
данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных – временное прекращение обработки персональных
данных (за исключением случаев, если обработка необходима для уточнения персональных
данных);
- уничтожение персональных данных – действия, в результате которых становится
невозможным восстановить содержание персональных данных в информационной системе
персональных данных и (или) в результате которых уничтожаются материальные носители
персональных данных;
- обезличивание персональных данных – действия, в результате которых становится
невозможным без использования дополнительной информации определить принадлежность
персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных (ИСПД) – совокупность содержащихся в базах
данных персональных данных и обеспечивающих их обработку информационных технологий и
технических средств;
- трансграничная передача персональных данных – передача персональных данных на
территорию иностранного государства органу власти иностранного государства, иностранному
физическому лицу или иностранному юридическому лицу;
- СЗИ – средства защиты информации;
- СКЗИ- средства криптографической защиты информации.
1.3. Нормативные ссылки
Регламент разработан в соответствии с требованиями Федерального закона от 27 июля 2006
года № 149 «Об информации, информационных технологиях и о защите информации» и
Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
1.4. Основные права и обязанности Оператора и субъекта персональных данных
1.4.1. Основные права субъекта персональных данных.
1.4.1.1. Субъект персональных данных имеет право на доступ к его персональным данным и
следующим сведениям:
• подтверждение факта обработки персональных данных Оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые Оператором способы обработки персональных данных;
• наименование и местонахождение Оператора, сведения о лицах (за исключением
работников Оператора), которые имеют доступ к персональным данным или которым
могут быть раскрыты персональные данные на основании договора с Оператором или на
основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему Субъекту
персональных данных, источник их получения, если иной порядок представления таких
данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных
федеральным законом;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку
персональных данных по поручению Оператора, если обработка поручена или будет
поручена такому лицу.
1.4.1.2. Субъект персональных данных вправе требовать от Оператора уточнения его
персональных данных, их блокирования или уничтожения в случае, если персональные данные
являются неполными, устаревшими, неточными, незаконно полученными или не являются
необходимыми для заявленной цели обработки, а также принимать предусмотренные законом
меры по защите своих прав.
1.4.1.3. Субъект персональных данных вправе получать информацию о сроках обработки своих
персональных данных, в том числе о сроках их хранения.
1.4.1.4. Субъект персональных данных вправе требовать извещения всех лиц, которым ранее
были сообщены неверные или неполные его персональные данные, обо всех произведенных в
них исключениях, исправлениях и дополнениях.
1.4.1.5. Субъект персональных данных вправе реализовать иные права, предусмотренные
действующим законодательством РФ о персональных данных.
1.4.1.6. Для реализации вышеуказанных прав субъект персональных данных, может в порядке
установленном статьей 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных
данных», обратиться в Общество с соответствующим запросом. Для выполнения таких запросов
представителю Общества может потребоваться установить личность субъекта персональных
данных и запросить дополнительную информацию.
1.4.1.7. Если субъект персональных данных считает, что Оператор осуществляет обработку его
персональных данных с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ
«О персональных данных» или иным образом нарушает его права и свободы, субъект
персональных данных вправе обжаловать действия или бездействие Оператора в порядке,
предусмотренном законодательством Российской Федерации.
1.4.2. Основные обязанности субъекта персональных данных.
1.4.2.1. Субъект персональных данных обязан предоставить Оператору достоверные
персональные данные.
1.4.2.2. Субъект персональных данных обязан своевременно информировать Оператора об
изменении персональных данных. Невнесение Оператором изменений, дополнений,
исключений в персональные данные, связанное с непредставлением субъектом персональных
данных уточняющей, изменяющей информации, освобождает Оператора от ответственности.
1.4.3. Основные права Оператора.
1.4.3.1. Оператор вправе осуществлять обработку персональных данных без уведомления
уполномоченного органа по защите прав субъектов персональных данных обработку
персональных данных в случаях, предусмотренных частью 2 статьи 22 Федерального закона от
27.07.2006 № 152-ФЗ «О персональных данных».
1.4.3.2. Оператор вправе поручить обработку персональных данных другому лицу с согласия
субъекта персональных данных, если иное не предусмотрено федеральным законом, на
основании заключаемого с этим лицом договора, в том числе государственного или
муниципального контракта (далее - поручение оператора). Лицо, осуществляющее обработку
персональных данных по поручению оператора, обязано соблюдать принципы и правила
обработки персональных данных, предусмотренные федеральным законодательством.
1.4.4. Основные обязанности Оператора.
1.4.4.1. При сборе персональных данных Оператор обязан предоставить субъекту
персональных данных по его просьбе информацию, предусмотренную п. 1.4.1.1.
1.4.4.2. Если предоставление персональных данных является обязательным в соответствии с
федеральным законом, Оператор обязан разъяснить субъекту персональных данных
юридические последствия отказа предоставить его персональные данные.
1.4.4.3. Если персональные данные получены не от субъекта персональных данных, Оператор,
за исключением случаев, предусмотренных федеральным законодательством, до начала
обработки таких персональных данных обязан предоставить субъекту персональных данных
следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные законодательством права субъекта персональных данных;
5) источник получения персональных данных.
1.4.4.4. Сообщить в уполномоченный орган по защите прав субъектов персональных данных по
запросу этого органа необходимую информацию в течение тридцати дней с даты получения
такого запроса.
1.4.4.5. Опубликовать или иным образом обеспечить неограниченный доступ к Политике.
1.4.4.6. Принимать необходимые правовые, организационные и технические меры или
обеспечивать их принятие для защиты персональных данных от неправомерного или
случайного доступа к ним, уничтожения, изменения, блокирования, копирования,
предоставления, распространения персональных данных, а также от иных неправомерных
действий в отношении персональных данных.
1.4.4.7. Оператор несет иные обязанности, предусмотренные действующим законодательством
о персональных данных.