Политика предприятия в отношении обработки персональных данных

 

1. Введение

1.1 Настоящий документ определяет политику компании Wcargo OY (далее — Компания, Оператор) в отношении обработки персональных данных (далее — ПДн). Политика в отношении обработки персональных данных определяет позицию и намерения Компании в области обработки и защиты персональных данных лиц, состоящих в договорных отношениях с Компанией, обеспечении их целостности и сохранности.

1.2 Компания является оператором ПДн в соответствии с законодательством Европейского Союза.

1.3 Настоящая Политика разработана в соответствии с действующим законодательством Европейского союза о ПДн и опирается на нормативно-правовой акт Европейского Парламента номер 2016/679 от 27 апреля 2016 года.

1.4 Действие настоящей Политики распространяется на любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение ПДн.

1.5 Настоящая Политика подлежит пересмотру и, при необходимости, актуализации в случае изменений в законодательстве Европейского союза о Пдн.

1.6. Политика предназначена для изучения и неукоснительного исполнения руководителями и работниками всех структурных подразделений Компании.

 

2. Цель и принципы обработки персональных данных

2.1. Под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу.

2.2. Целью сбора, обработки, хранения, а так же других действий с персональными данными работников или третьих лиц (далее субъектов персональных данных ) является исполнение обязательств Компании по договору с ними. Компания осуществляет обработку персональных данных в следующих целях:

2.2.1. Заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством

2.2.2. Организации кадрового учета Компании, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам.

2.3. При обработке персональных данных субъектов реализуются следующие принципы:

2.3.1. Обработка ПДн осуществляется на законной и справедливой основе;

2.3.2. Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Сбор только тех персональных данных, которые минимально необходимы для достижения заявленных целей обработки;

2.3.3. Обработка ПДн, несовместимая с целями сбора ПДн, не допускается;

2.3.4. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

2.3.5. Содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки;

2.3.6. Хранение ПДн осуществляется с соблюдением мер исключающих несанкционированный доступ к ним;

2.3.7. Обрабатываемые ПДн подлежат уничтожению или обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

 

3. Условия обработки Пдн

 

3.1 Обработка ПДн осуществляется с соблюдением принципов и правил, установленных ФЗ «О персональных данных». Обработка ПДн осуществляется в следующих случаях:

3.1.1. Обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;

3.1.2. Обработка ПДн необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Европейского Союза на оператора функций, полномочий и обязанностей;

3.1.3. Обработка ПДн необходима для исполнения договора, стороной по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн;

3.1.4. Обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;

3.1.5. Обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн;

3.2.Компания может включать ПДн субъектов в общедоступные источники ПДн, при этом Компания берет письменное согласие субъекта на обработку его ПДн.

3.3 Компания обязуется и обязует иные лица, получившие доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

 

4. Категории субъектов персональных данных

 

4.1. Перечень персональных данных, подлежащих защите, формируется в соответствии с федеральным законодательством о персональных данных и внутренними документами оператора по защите персональных данных.

4.2. Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

4.3. В зависимости от субъекта персональных данных, Компания обрабатывает персональные данные следующих категорий субъектов персональных данных:

4.3.1. Персональные данные работника Компании - информация, необходимая Компании в связи с трудовыми отношениями и касающаяся конкретного работника

4.3.2. Персональные данные лиц, являющихся контрагентами Компании (арендаторы — индивидуальные предприниматели и юридические лица, в т.ч. ПДн их руководителей), необходимые Компании для выполнения своих обязательств в рамках договорных отношений с контрагентами и для выполнения требований законодательства Российской Федерации.

 

5. Состав и способы обработки персональных данных

 

5.1. В состав обрабатываемых персональных данных могут входить:

   -фамилия, имя, отчество;

   -дата рождения или возраст;

   -паспортные данные;

   -адрес проживания;

   -номер телефона;

   -ИНН, ОГРН ИП,

   -другая информация, необходимая для исполнения договорных обязательств.

5.2. Компания не обрабатывает персональные данные, касающиеся состояния здоровья (за исключением работников Компании), вероисповедания, национальности субъекта.

5.3. Персональные данные Компания получает только лично от субъекта.

5.4. Обработка персональных данных происходит как неавтоматизированным, так и автоматизированным способом.

5.5. К обработке персональных данных допускаются только сотрудники Компании прошедшие определенную процедуру допуска, к которой относятся:

   -ознакомление сотрудника с локальными нормативными актами (положения, инструкции и т.д.), строго регламентирующими порядок и процедуру работы с персональными данными;

   -взятие с сотрудника подписки о соблюдении конфиденциальности в отношении персональных данных при работе с ними;

   -получение сотрудником и использование в работе минимально необходимых для исполнения трудовых обязанностей прав доступа к информационным системам, содержащим в себе персональные данные.

 

6. Сроки обработки персональных данных

 

6.1. Сроки обработки персональных данных определяются в соответствии со сроком действия договора с субъектом персональных данных, а также иными требованиями законодательства ЕС и нормативными документами.

6.2. Компанией создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Персональные данные субъектов хранятся в бумажном (договор, согласие на обработку персональных данных) и/или электронном виде. В электронном виде персональные данные хранятся в информационных системах, а так же в архивных копиях баз данных этих систем.

6.3. При хранении персональных данных соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним. К ним относятся:

   -назначение сотрудников ответственных за тот или иной способ хранения персональных данных;

   -ограничение физического доступа к местам хранения и носителям;

   -учет всех информационных систем и электронных носителей, а так же архивных копий.

 

7. Меры по обеспечению безопасности ПДн при их обработке

 

7.1 При обработке ПДн Компания применяет необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного, несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

7.2 Обеспечение безопасности ПДн достигается следующими мерами:

7.2.1. Определение угроз безопасности ПДн при их обработке в информационных системах ПДн;

7.2.2. Применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;

7.2.3.Учет машинных носителей ПДн;

7.2.4. Обнаружение фактов несанкционированного доступа к ПДн и принятие мер;

7.2.5. Контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности информационных систем Пдн;

7.2.6. Назначение сотрудника, ответственного за организацию обработки персональных данных;

7.2.7. Определение списка лиц, допущенных к работе с персональными данными;

7.2.8. Разработка и утверждение локальных нормативных актов, регламентирующих порядок обработки персональных данных.