Настоящая Политика обработки персональных данных (далее - Политика) разработана в соответствии с требованиями нормативных правовых актов Российской Федерации, регулирующих процессы обработки персональных данных (далее - ПДн). Политика определяет принципы обработки (сбора, хранения, передачи, уничтожения) и защиты ПДн клиентов и работников ООО «Алкор Био» (далее -субъекты ПДн) в ООО «Алкор Био» (далее-Общество).
Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению (обновлению, изменению), извлечению, использованию, передаче (предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению ПДн, осуществляемые как с использованием средств автоматизации, так и без использования таких средств.
Обработка персональных данных в Обществе должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Обработка ПДн осуществляется на основе принципов:
Обработка ПДн в Обществе осуществляется исключительно в следующих целях:
Сбор, накопление, хранение, изменение, использование и передача ПДн осуществляется при условии наличия согласия субъекта ПДн, за исключением случаев, когда в соответствии с действующим законодательством допускается обработка ПДн без получения согласия субъекта ПДн, а именно:
Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют соответствующие цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки, или в случае утраты необходимости в достижении этих целей.
ПДн субъектов могут обрабатываться как на бумажных носителях, так и в электронном виде.
Общество вправе поручить обработку ПДн третьему лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. При этом Общество в договоре обязует третье лицо, осуществляющее обработку ПДн по поручению Общества, соблюдать принципы и правила обработки ПДн, предусмотренные федеральным законом №152-ФЗ «О персональных данных» и другими нормативными правовыми актами, регламентирующим процессы обработки ПДн.
В случае если Общество поручает обработку ПДн третьему лицу, ответственность перед субъектом ПДн за действия указанного лица несет Общество. Лицо, осуществляющее обработку ПДн по поручению Общества, несет ответственность перед Обществом.
Общество обязуется и обязует третьих лиц, получивших доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законом.
В случае достижения целей обработки ПДн – Общество прекращает обработку ПДн и уничтожает ПДн, в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено соглашением между Обществом и субъектом персональных данных.
В случае обращения субъекта ПДн с заявлением об уничтожении его персональных данных, Общество обязано прекратить обработку или обеспечить прекращение обработки персональных данных данного субъекта и уничтожить указанные в заявлении персональные данные.
Уничтожение ПДн производится в соответствии с внутренними процессами Общества.
При обработке ПДн Общество принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
Обеспечение безопасности ПДн достигается, в частности:
Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных:
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
К категориям субъектов персональных данных могут быть отнесены:
В рамках категорий субъектов и применительно к конкретным целям случаи обработки специальных и биометрических персональных данных:
Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, обезличивание, удаление, блокирование, уничтожение.
Обработка вышеуказанных персональных данных может осуществляться путем смешанной обработки с передачей по внутренней сети юридического лица с передачей по сети Интернет.
Передача персональных данных третьим лицам осуществляться только на основании договора, условием которого является обязанность обеспечения третьим лицом безопасности персональных данных при их обработке (в том числе конфиденциальности персональных данных), а также меры, предусмотренные ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных».
Условия прекращения обработки персональных данных:
При осуществлении хранения персональных данных Общество использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона "О персональных данных".
В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации (исправлению) Обществом.
При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
Общество обязано сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.
Общество обеспечивает конфиденциальность персональных данных, то есть не допускает их распространения без согласия субъекта персональных данных или наличия иного законного основания. Обеспечение конфиденциальности обезличенных и общедоступных персональных данных осуществляется аналогично обеспечению конфиденциальности иных данных, обрабатываемых в Обществе.
Доступ к ПДн предоставляется только тем работникам Общества, которым он необходим для исполнения их непосредственных должностных обязанностей.
Допуск работников Общества к обработке ПДн осуществляется на основании утвержденного Перечня должностей работников, допущенных к обработке ПДн, обрабатываемых в Обществе. Работник Общества допускается к обработке ПДн только в случае выполнения своих трудовых обязанностей.
Работник Общества допускается к обработке ПДн только после ознакомления с действующими нормативными правовыми актами, регламентирующими обработку ПДн, локальными нормативными актами Общества, регламентирующими обработку ПДн.
Общество обеспечивает доступ субъектов ПДн к принадлежащим им ПДн. Для получения такого доступа субъекту ПДн необходимо направить в Общество письменный запрос по форме, приведенной в Приложении № 1. Общество осуществляет предоставление ПДн обратившегося субъекта в доступной для субъекта форме.
В соответствии с Федеральным законом № 152-ФЗ «О персональных данных» субъект ПДн имеет право:
Работники Общества, виновные в нарушении нормативных правовых актов и локальных нормативных актов Общества, регулирующих процессы обработки и защиты ПДн, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной, уголовной ответственности в порядке, установленном действующим законодательством.