Политика СМИ "Форматор" в отношении обработки персональных данных

1 Введение

1.1 Настоящий документ определяет порядок обработки персональных данных (далее — ПД) и меры по обеспечению их безопасности в СМИ «Форматор» (далее — СМИ) с целью защиты прав и свобод человека и гражданина при обработке его ПД, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2 СМИ является оператором ПД в соответствии с законодательством Российской Федерации о ПД.

1.3 Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации о ПД:

— Федеральный закон Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее — 152-ФЗ, ФЗ «О персональных данных»), устанавливающий основные принципы и условия обработки ПД, права, обязанности и ответственность участников отношений, связанных с обработкой ПД;

— Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

— Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

1.4 Действие настоящей Политики распространяется на любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.

1.5 Настоящая Политика подлежит пересмотру и, при необходимости, актуализации в случае изменений в законодательстве Российской Федерации о ПД.

2 Принципы обработки ПД

Обработка ПД осуществляется на основе следующих принципов:

1) обработка ПД осуществляется на законной и справедливой основе;

2) обработка ПД ограничивается достижением конкретных, заранее определенных и законных целей;

3) обработка ПД, несовместимая с целями сбора ПД, не допускается;

4) не допускается объединение баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой;

5) содержание и объем обрабатываемых ПД соответствуют заявленным целям обработки. Обрабатываемые ПД не являются избыточными по отношению к заявленным целям обработки;

6) при обработке ПД обеспечивается точность ПД и их достаточность, в случаях необходимости и актуальность ПД по отношению к заявленным целям их обработки;

7) хранение ПД осуществляется в форме, позволяющей определить субъекта ПД не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД;

8) обрабатываемые ПД подлежат уничтожению или обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3 Условия обработки ПД

3.1 Обработка ПД осуществляется с соблюдением принципов и правил, установленных ФЗ «О персональных данных». Обработка ПД осуществляется в следующих случаях:

1) обработка ПД осуществляется с согласия субъекта ПД на обработку его ПД;

2) обработка ПД необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет являться выгодоприобретателем или поручителем;

4) обработка ПД необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия субъекта ПД невозможно;

5) обработка ПД необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПД;

6) обработка ПД осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПД. Исключение составляет обработка ПД в целях уведомления пользователей по электронной почте или другими используемыми средствами связи;

7) осуществляется обработка ПД, доступ неограниченного круга лиц к которым предоставлен субъектом ПД либо по его просьбе.

3.2 Принятие на основании исключительно автоматизированной обработки ПД решений, порождающих юридические последствия в отношении субъекта ПД или иным образом затрагивающих его права и законные интересы, не осуществляется.

3.3 При отсутствии необходимости письменного согласия субъекта на обработку его ПД согласие субъекта может быть дано субъектом ПД или его представителем в любой позволяющей получить факт его получения форме.

3.4 СМИ обязуется не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено федеральным законом.

4 Обязанности СМИ

В соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» СМИ обязано:

1) предоставлять субъекту ПД по его запросу информацию, касающуюся обработки его ПД, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса субъекта ПД или его представителя;

2) по требованию субъекта ПД уточнять, блокировать или удалять обрабатываемые ПД, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки в срок, не превышающий семи рабочих дней со дня предоставления субъектом ПД или его представителем сведений, подтверждающих эти факты;

3) вести Журнал учета обращений субъектов ПД, в котором должны фиксироваться запросы субъектов ПД на получение ПД, а также факты предоставления ПД по этим запросам;

4) в случае достижения цели обработки ПД незамедлительно прекратить обработку ПД и уничтожить соответствующие ПД в срок, не превышающий тридцати дней с даты достижения цели обработки ПД, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, иным соглашением между СМИ и субъектом ПД либо если СМИ не вправе осуществлять обработку ПД без согласия субъекта ПД на основаниях, предусмотренных № 152-ФЗ «О персональных данных» или другими федеральными законами;

5) в случае отзыва субъектом ПД согласия на обработку своих ПД прекратить обработку ПД и уничтожить ПД в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между СМИ и субъектом ПД. Об уничтожении ПД СМИ обязана уведомить субъекта ПД.

5 Меры по обеспечению безопасности ПД при их обработке

5.1 При обработке ПД СМИ применяет необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД.

5.2 Обеспечение безопасности ПД достигается следующими мерами:

1) определение угроз безопасности ПД при их обработке в информационных системах ПД;

2) применение организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах ПД, необходимых для выполнения требований к защите ПД, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПД;

3) применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

4) оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы ПД;

5) учет машинных носителей ПД;

6) обнаружение фактов несанкционированного доступа к ПД и принятие мер;

7) восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установление правил доступа к ПД, обрабатываемым в информационной системе ПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в информационной системе ПД;

9) контроль за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности информационных систем ПД.

6 Права субъекта ПД

В соответствии с ФЗ «О персональных данных» субъект ПД имеет право:

1) получить сведения, касающиеся обработки ПД СМИ, а именно:

— подтверждение факта обработки ПД СМИ;

— правовые основания и цели обработки ПД СМИ;

— применяемые СМИ способы обработки ПД;

— наименование и место нахождения СМИ, сведения о лицах (за исключением работников СМИ), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с оператором или на основании федерального закона;

— обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

— сроки обработки ПД СМИ, в том числе сроки их хранения;

— порядок осуществления субъектом ПД прав, предусмотренных ФЗ «О персональных данных»;

— иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами;

2) потребовать от СМИ уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

3) отозвать согласие на обработку ПД в предусмотренных законом случаях.

7 Порядок осуществления прав

7.1 Обращение субъекта ПД к оператору в целях реализации его прав, установленных ФЗ «О персональных данных», осуществляется через личный кабинет пользователя на сайте СМИ (для прекращения обработки ПД), через электронную почту в форме свободного запроса, в письменном виде по установленной форме при личном визите в Компанию субъекта ПД или его представителя. (Здесь и далее по тексту под субъектами ПД понимается как сам субъект ПД, так и его законный представитель: родитель, опекун, попечитель и иные лица, полномочия которых установлены 152-ФЗ либо иным законом Российской Федерации).

7.2 Форма обращения высылается субъекту ПД или его представителю по запросу на его электронную почту или почтовый адрес и заполняется субъектом ПД или его представителем.

7.3 Ответ на обращение отправляется субъекту ПД по запросу на его электронную почту или в письменном виде на почтовый адрес, указанный в обращении.

7.4 Срок формирования ответа и передачи в почтовое отделение для отправки не может превышать тридцати дней с даты получения оператором обращения.

7.5 Срок внесения необходимых изменений в ПД, являющиеся неполными, неточными или неактуальными, не может превышать семи рабочих дней со дня предоставления субъектом ПД или его представителем сведений, подтверждающих, что ПД являются неполными, неточными или неактуальными.

7.6 Срок уничтожения ПД, являющихся незаконно полученными или не являющихся необходимыми для заявленной цели обработки, не может превышать семи рабочих дней со дня предоставления субъектом ПД или его представителем сведений, подтверждающих, что ПД являются незаконно полученными или не являются необходимыми для заявленной цели обработки.

8 Ограничения прав субъектов ПД

8.1 Право субъекта ПД на доступ к своим ПД ограничивается в случае, если предоставление ПД нарушает права и законные интересы других лиц в соответствии с законодательством Российской Федерации.