ПОЛОЖЕНИЕ О ПОРЯДКЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ООО «Джии рус» (далее – «Компания»)
Филиал Корпорации «Дженерал Электрик Интернэшнл, Инк.» (США) в г. Москва (далее – «Компания»)
Общие положения
- 1.1 Положение о порядке обработки персональных данных (далее – Положение) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни обрабатываемых персональных данных, права субъектов персональных данных, а также реализуемые требования к защите персональных данных.
- 1.2 Положение принято с целью защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
- 1.3 Положение разработано с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.
- 1.4 Положение служит основой для разработки локальных нормативных актов, регламентирующих в Компании вопросы обработки персональных данных.
- 1.5 Локальные нормативные акты и иные документы, регламентирующие обработку персональных данных в Компании, в том числе при их обработке в информационных системах, содержащих персональные данные, разрабатываются в Компания с учетом положений Положения.
- 1.6 Основные понятия:
- 1) Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- 2) ПДн работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.
- 3) информация – сведения (сообщения, данные) независимо от формы их представления
- 4) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- 5) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- 6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- 7) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- 8) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- 9) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- 10)Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
- 1.7 Основные обязанности Компании:
- - Лица Компании, в обязанности которых входит обработка запросов и обращений субъектов персональных данных, обязаны обеспечить каждому субъекту возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом, в соответствии с локальными нормативными актами Компании.
- - Компания обязуется не принимать на основании исключительно автоматизированной обработки решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы.
- 1.8 Права и обязанности субъектов персональных данных:
- 1.8.1 В целях защиты своих персональных данных, хранящихся в Компании, субъект персональных данных имеет право:
- - получить доступ к своим персональным данным;
- - получить информацию, касающуюся обработки его персональных данных;
- - требовать исключения или исправления неверных или неполных персональных данных;
- - получать свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;
- - дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
- - определять своих представителей для защиты своих персональных данных;
- - требовать сохранения и защиты своей личной и семейной тайны;
- - обжаловать в суде любые неправомерные действия или бездействия Компании при обработке и защите его персональных данных.
- 1.8.2 Субъекты персональных данных обязаны:
- - в случаях, предусмотренных законом или договором, передавать Компании достоверные документы, содержащие персональные данные;
- - не предоставлять неверные персональные данные, а в случае изменений в персональных данных, обнаружения ошибок или неточностей в них (фамилия, место жительства и т. д.), незамедлительно сообщить об этом Компании.
- 1.9 Настоящее Положение регулирует вопросы обработки ПДн, состав и категории, а также цели и правовое основание обработки которых определяются в утвержденном Компанией Перечне персональных данных, целей и оснований для обработки (далее – Перечень ПДн).
- 1.10 Обработка ПДн осуществляется Компанией или по ее поручению третьими лицами в целях:
- обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Компании;
- осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Компанию, в том числе по предоставлению ПДн в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
- регулирования трудовых отношений с работниками Компании (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
- предоставления работникам Компании дополнительных гарантий и компенсаций в соответствии с локальными нормативными актами Компании;
- защиты жизни, здоровья или иных жизненно важных интересов работников Компании;
- обеспечения пропускного режима;
- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- подготовки, заключения, исполнения и прекращения договоров с контрагентами;
- осуществления прав и законных интересов Компании в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Компании;
- в иных законных целях.
- 1.11 Компания осуществляет обработку персональных данных работников Компании и других субъектов персональных данных, не состоящих с Компанией в трудовых отношениях, в соответствии со следующими принципами:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. В Компании принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- 1.12 Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законом. Обработка и защита ПДн осуществляется в соответствии с положениями законодательства – Конституции РФ, федеральными законами, а также иными действующими нормативными правовыми актами, определяющими порядок работы с ПДн и требования к обеспечению их безопасности, а также с учетом разъяснений Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) и Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации.
- 1.13 В целях реализации Положения в Компании разрабатываются соответствующие локальные нормативные акты и иные необходимые документы.
- 1.14 Настоящее Положение составлено с учетом Рекомендаций Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки ПДн.
- 1.15 Все изменения и дополнения к данному Положению вносятся и утверждаются распоряжением лица, ответственного за организацию обработки ПДн в Компании (далее – Ответственный за Организацию Обработки ПДн).
- 1.16 Лица, виновные в нарушении норм, регулирующих обработку ПДн , несут дисциплинарную, административную, гражданско-правовую ответственность, установленную действующим законодательством.
- 2.1 Передача ПДн третьим лицам допускается в случаях, установленных законодательством, настоящим Положением, иными локальными нормативными актами, договорами и, при необходимости, с предварительного согласия субъекта ПДн.
- 2.2 Компания соблюдает и при поручении обработки требует соблюдения требований законодательства в области ПДн, в том числе, к порядку осуществления трансграничной передачи.
- 2.3 Срок обработки и хранения ПДн определяется в соответствии со сроками действия договоров, а также в соответствии со сроками, предусмотренными трудовым, налоговым и бухгалтерским законодательством.
- 2.4 Компания (или лицо, осуществляющее обработку ПДн по поручению Компании), прекращает обработку ПДн и уничтожает их в случаях достижения целей обработки ПДн, истечения срока действия согласия или отзыва согласия субъекта ПДн на обработку его ПДн, выявления неправомерной обработки ПДн и в иных случаях, предусмотренных законодательством Российской Федерации в области ПДн.
- 2.5 В случае предоставления субъектом персональных данных фактов о неполных, устаревших, недостоверных или незаконно полученных персональных данных Компания обязана внести необходимые изменения, уничтожить или блокировать их, а также уведомить о своих действиях субъекта персональных данных.
- 2.6 В случае подтверждения факта неточности персональных данных персональные данные подлежат их актуализации Компанией, а в случае неправомерности их обработки такая обработка должна быть прекращена.
- 2.7 Конкретные категории и ПДн должны быть определены в соответствующих документах.
- 3.1 Сбор ПДн, а также иная обработка ПДн осуществляется с соблюдением требований законодательства, в том числе осуществления сбора ПДн с обеспечением их нахождения на территории Российской Федерации.
- 4.1 Для достижения целей обработки Компания может поручать обработку или передавать ПДн третьему лицу (далее – Третье лицо) на основании соответствующих договоров в порядке, установленном законодательством.
- 4.2 При передаче или/и поручении обработки Третьему лицу Компания определяет перечень действий (операций) с ПДн и цели обработки, устанавливает обязанность Третьего лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, указывает требования к защите обрабатываемых ПДн в соответствии с законодательством.
- 4.3 Обработка, осуществляемая Третьим лицом по поручению Компании, ограничена целями исполнения договоров, принятых в Компании локальных нормативных актов, а также соблюдения трудового, налогового, бухгалтерского и иного применимого законодательства Российской Федерации.
- 4.4 По поручению Компании Третье лицо обрабатывает ПДн, отраженные в соответствующей категории утвержденного Компанией Перечня ПДн.
- 4.5 Осуществляемая Третьим лицом обработка может включать в себя сбор, запись, систематизацию, накопление, уточнение (обновление, адаптация или внесение изменений), создание выдержек, извлечение, поиск, использование, сортировку, хранение, проверку, передачу, распространение или предоставление доступа, обезличивание, блокирование, группирование или объединение, разделение на блоки, удаление, стирание или уничтожение персональных данных.
- 5.1 Компания при осуществлении обработки ПДн:
– принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов Компании в области ПДн;
– принимает правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
– назначает лицо, ответственное за организацию обработки ПДн в Компании;
– издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты персональных данных в Компании;
– осуществляет ознакомление работников Компании, непосредственно осуществляющих обработку ПДн, с положениями локальных нормативных актов Компании в области ПДн, в том числе требованиями к защите ПДн, и обучение указанных работников;
– публикует или иным образом обеспечивает неограниченный доступ к настоящему Положению;
– сообщает в установленном порядке субъектам ПДн или их представителям информацию о наличии ПДн, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими ПДн при обращении и (или) поступлении запросов указанных субъектов ПДн или их представителей, если иное не установлено законодательством Российской Федерации;
– прекращает обработку и уничтожает ПДн в случаях, предусмотренных законодательством Российской Федерации в области ПДн;
– совершает иные действия, предусмотренные законодательством Российской Федерации в области ПДн.
- 5.2 Обработка персональных данных в Компании осуществляется с согласия субъекта ПДн на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области ПДн.
- 5.3 Компания осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение ПДн.
- 5.4 Обработка ПДн в Компании осуществляется следующими способами:
– без использования средств вычислительной техники (неавтоматизированная обработка ПДн);
– автоматизированная обработка ПДн с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.
- 6.1 Доступ к ПДн Компании имеют:
- 6.1.1 государственные органы и организации в пределах своих полномочий, которые могут обоснованно запросить у Компании ПДн работников;
- 6.1.2 лица и организации, доступ которых к ПДн работника предоставлен с согласия работника на передачу персональных данных;
- 6.1.3 лица и организации, которым Компания поручила обработку ПДн;
- 6.1.4 родственники и члены семьи работника только с соответствующего согласия.
- 6.2 Порядок реагирования на запросы субъектов ПДн и их представителей, уполномоченных органов по поводу неточности ПДн, неправомерности их обработки, отзыва согласия и доступа субъекта ПДн к своим данным устанавливается в соответствующих инструкциях и регламентах Компании.
- 7.1 Во всех необходимых случаях лицо, осуществляющее обработку ПДн в т.ч. по поручению Компании, осуществляет сбор письменного согласия на обработку ПДн, в том числе, если применимо, в электронной форме с применением электронной подписи в соответствии с законодательством.
- 7.2 Порядок получения согласия на обработку ПДн описывается в соответствующих инструкциях о порядке обработки персональных данных.
- 8.1 Требования к защите и обеспечению безопасности ПДн, а также мероприятия по их обеспечению излагаются в соответствующих инструкциях и регламентах обеспечения безопасности ПДн.
- 9.1 Ответственный за Организацию Обработки ПДн в Компании пересматривает Положение как минимум раз в 3 года, а также (если это необходимо) в случае изменений в законодательстве Российской Федерации в области ПДн или в процессах обработки ПДн в Компании.