Захист персональних даних

ПОЛІТИКА КОМПАНІЇ ВІДНОСНО ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

1.ЗАГАЛЬНІ СТАНИ

Політика обробки персональних даних (далі - Політика) розроблена відповідно до закону від 01.06.2010 № 2297 - VI "Про захист персональних даних" (далі - № 2297 - VI).

Справжня Політика визначає порядок обробки персональних даних і міри по забезпеченню безпеки персональних даних в "Newbrain" (далі - Оператор) з метою захисту прав і свобод людини і громадянина при обробці його персональних даних, у тому числі захисту прав на недоторканість приватного життя, особисту і сімейну таємницю.

У Політиці використовуються наступні основні поняття:

  • автоматизована обробка персональних даних - обробка персональних даних за допомогою засобів обчислювальної техніки;
  • блокування персональних даних - тимчасове припинення обробки персональних даних (за винятком випадків, якщо обробка потрібна для уточнення персональних даних);
  • інформаційна система персональних даних - сукупність даних персональних даних, що містяться у базах, і що забезпечують їх обробку інформаційних технологій і технічних засобів;
  • знеособлення персональних даних - дії, в результаті яких неможливо визначити без використання додаткової інформації приналежність персональних даних конкретному суб'єктові персональних даних;
  • обробка персональних даних - будь-яка дія (операція) або сукупність дій (операцій), що здійснюються з використанням засобів автоматизації або без використання таких засобів з персональними даними, включаючи збір, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), витягання, використання, передачу (поширення, надання, доступ), знеособлення, блокування, видалення, знищення персональних даних;
  • оператор - державний орган, муніципальний орган, юридична або фізична особа, самостійно або спільно з іншими особами організуючі і (чи) здійснюючі обробку персональних даних, а також визначальні цілі обробки персональних даних, склад персональних даних, що підлягають обробці, дії (операції), що здійснюються з персональними даними;
  • персональні дані - будь-яка інформація, що відноситься до прямо або побічно певній або визначуваній фізичній особі (суб'єктові персональних даних);
  • надання персональних даних - дії, спрямовані на розкриття персональних даних певній особі або певному колу осіб;
  • поширення персональних даних - дії, спрямовані на розкриття персональних даних невизначеному колу осіб (передача персональних даних) або на ознайомлення з персональними даними необмеженого круга осіб, у тому числі обнародування персональних даних в засобах масової інформації, розміщення в інформаційно-телекомунікаційних мережах або надання доступу до персональних даних яким-небудь іншим способом;
  • трансгранична передача персональних даних - передача персональних даних на територію іноземної держави органу влади іноземної держави, іноземній фізичній або іноземній юридичній особі;
  • знищення персональних даних - дії, в результаті яких неможливо відновити зміст персональних даних в інформаційній системі персональних даних і (чи) результаті яких знищуються матеріальні носії персональних даних.

Компанія зобов'язана опублікувати або іншим чином забезпечити необмежений доступ до справжньої Політики обробки персональних даних відповідно до закону № 2297 - VI.

2. ПРИНЦИПИ І УМОВИ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

2.1. Принципи обробки персональних даних

Обробка персональних даних у Оператора здійснюється на основі наступних принципів:

  • законності і справедливої основи;
  • обмеження обробки персональних даних досягненням конкретних, заздалегідь визначених і законних цілей;
  • недопущення обробки персональних даних, несумісної з цілями збору персональних даних;
  • недопущення об'єднання баз даних, що містять персональні дані, обробка яких здійснюється в цілях, несумісних між собою;
  • обробки тільки тих персональних даних, які відповідають цілям їх обробки;
  • відповідності змісту і об'єму оброблюваних персональних даних заявленим цілям обробки;
  • недопущення обробки персональних даних, надмірних по відношенню до заявлених цілей їх обробки;
  • забезпечення точності, достатності і актуальності персональних даних по відношенню до цілей обробки персональних даних;
  • знищення або знеособлення персональних даних після досягнення цілей їх обробки або у разі втрати необхідності в досягненні цих цілей, при неможливості усунення Оператором допущених порушень персональних даних, якщо інше не передбачене федеральним законом.

2.2. Умови обробки персональних даних

Оператор здійснює обробку персональних даних за наявності хоч би однієї з наступних умов :

  • обробка персональних даних здійснюється з відома суб'єкта персональних даних на обробку його персональних даних;
  • обробка персональних даних потрібна для досягнення цілей, передбачених міжнародним договором України або законом, для здійснення і виконання, покладених законодавством України на оператора функцій, повноважень і обов'язків;
  • обробка персональних даних потрібна для здійснення правосуддя, виконання судового акту, акту іншого органу або посадовця, що підлягають виконанню відповідно до законодавства України про виконавче провадження;
  • обробка персональних даних потрібна для виконання договору, стороною якого або выгодоприобретателем або поручителем по якому є суб'єкт персональних даних, а також для укладення договору за ініціативою суб'єкта персональних даних або договору, по якому суб'єкт персональних даних являтиметься выгодоприобретателем або поручителем;
  • обробка персональних даних потрібна для здійснення прав і законних інтересів оператора або третіх осіб або для досягнення суспільно значимих цілей за умови, що при цьому не порушуються права і свободи суб'єкта персональних даних;
  • здійснюється обробка персональних даних, доступ необмеженого кола осіб до яких наданий суб'єктом персональних даних або на його прохання (далі - загальнодоступні персональні дані);
  • здійснюється обробка персональних даних, що підлягають публікації або обов'язковому розкриттю відповідно до федерального закону.

2.3. Конфіденційність персональних даних

Оператор і інші особи, що отримали доступ до персональних даних, зобов'язані не розкривати третім особам і не поширювати персональні дані без згоди суб'єкта персональних даних, якщо інше не передбачене федеральним законом.

2.4. Загальнодоступні джерела персональних даних

В цілях інформаційного забезпечення у Оператора можуть створюватися загальнодоступні джерела персональних даних суб'єктів, у тому числі довідники і адресні книги. У загальнодоступні джерела персональних даних з письмової згоди суб'єкта можуть включатися його прізвище, ім'я, по батькові, дата і місце народження, посада, номери контактних телефонів, адреса електронної пошти і інші персональні дані, що повідомляються суб'єктом персональних даних.

Відомості про суб'єкта мають бути у будь-який час виключені із загальнодоступних джерел персональних даних на вимогу суб'єкта або за рішенням суду або інших уповноважених державних органів.

2.5. Спеціальні категорії персональних даних

Обробка Оператором спеціальних категорій персональних даних, що стосуються расової, національної приналежності, політичних поглядів, релігійних або філософських переконань, стану здоров'я, інтимного життя, допускається у випадках, якщо:

  • суб'єкт персональних даних дав згоду у письмовій формі на обробку своїх персональних даних;
  • персональні дані зроблені загальнодоступними суб'єктом персональних даних;
  • обробка персональних даних здійснюється відповідно до законодавства про державну соціальну допомогу, трудовим законодавством, законодавством Російської Федерації про пенсії по державному пенсійному забезпеченню, про трудові пенсії;
  • обробка персональних даних потрібна для захисту життя, здоров'я або інших життєво важливих інтересів суб'єкта персональних даних або життя, здоров'я або інших життєво важливих інтересів інших осіб і отримання згоди суб'єкта персональних даних неможливе;
  • обробка персональних даних здійснюється в медико-профілактичних цілях, в цілях встановлення медичного діагнозу, надання медичних і медико-соціальних послуг за умови, що обробка персональних даних здійснюється особою, що професійно займається медичною діяльністю і зобов'язаним відповідно до законодавства України зберігати лікарську таємницю;
  • обробка персональних даних потрібна для встановлення або здійснення прав суб'єкта персональних даних або третіх осіб, а рівно і у зв'язку із здійсненням правосуддя;
  • обробка персональних даних здійснюється відповідно до законодавства про обов'язкові види страхування, із страховим законодавством.

Обробка спеціальних категорій персональних даних має бути негайно припинена, якщо усунені причини, внаслідок яких здійснювалася їх обробка, якщо інше не встановлене вітчизняним законом.

Обробка персональних даних про судимість може здійснюватися Оператором виключно у випадках і в порядку, які визначаються відповідно до законів України.

2.6. Біометричні персональні дані

Відомості, які характеризують фізіологічні і біологічні особливості людини, на підставі яких можна встановити його особу, - біометричні персональні дані - можуть оброблятися Оператором тільки за наявності згоди у письмовій формі суб'єкта.

2.7. Доручення обробки персональних даних іншій особі

Оператор має право доручити обробку персональних даних іншій особі з відома суб'єкта персональних даних, якщо інше не передбачене законом України, на підставі договору, що укладається з цією особою. Особа, що здійснює обробку персональних даних за дорученням Оператора, зобов'язана дотримуватися принципів і правил обробки персональних даних, передбачені законом України № 2297, - VI.

2.8. Трансгранична передача персональних даних

Оператор зобов'язана переконатися в тому, що іноземною державою, на територію якого передбачається здійснювати передачу персональних даних, забезпечується адекватний захист прав суб'єктів персональних даних, до початку здійснення такої передачі.

Трансгранична передача персональних даних на території іноземних держав, що не забезпечують адекватного захисту прав суб'єктів персональних даних, може здійснюватися у випадках:

  • наявність згоди у письмовій формі суб'єкта персональних даних на трансграничну передачу його персональних даних;
  • виконання договору, стороною якого є суб'єкт персональних даних.

3. ПРАВА СУБ'ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ

3.1. Згода суб'єкта персональних даних на обробку його персональних даних

Суб'єкт персональних даних приймає рішення про надання його персональних даних і дає згоду на їх обробку вільно, своєю волею і у своєму інтересі. Згода на обробку персональних даних може бути дана суб'єктом персональних даних або його представником в тій, що будь-якій, що дозволяє підтвердити факт його отримання формі, якщо інше не встановлене законом України.

Обов'язок надати доказ отримання згоди суб'єкта персональних даних на обробку його персональних даних або доказ наявності підстав, вказаних в законі України № 2297, - VI, покладається на Оператора.

3.2. Права суб'єкта персональних даних

Суб'єкт персональних даних має право на отримання у Оператора інформації, що стосується обробки його персональних даних, якщо таке право не обмежене відповідно до законів України. Суб'єкт персональних даних має право вимагати від Оператора уточнення його персональних даних, їх блокування або знищення у разі, якщо персональні дані є неповними, застарілими, неточними, незаконно отриманими або не є необхідними для заявленої мети обробки, а також вживати передбачені законом заходи по захисту своїх прав.

Обробка персональних даних в цілях просування товарів, робіт, послуг на ринку шляхом здійснення прямих контактів з потенційним споживачем за допомогою засобів зв'язку, а також в цілях політичної агітації допускається тільки за умови попередньої згоди суб'єкта персональних даних. Вказана обробка персональних даних визнається здійснюваною без попередньої згоди суб'єкта персональних даних, якщо Компанія не доведе, що таке згода була отримана.

Оператор зобов'язаний негайно припинити на вимогу суб'єкта персональних даних обробку його персональних даних у вищезгаданих цілях.

Забороняється прийняття на підставі виключно автоматизованої обробки персональних даних рішень, що породжують юридичні наслідки відносно суб'єкта персональних даних або іншим чином зачіпають його права і законні інтереси, за винятком випадків, передбачених законами України, або за наявності згоди у письмовій формі суб'єкта персональних даних.

Якщо суб'єкт персональних даних вважає, що Оператор здійснює обробку його персональних даних з порушенням вимог законом України № 2297 - VI або іншим чином порушує його права і свободи, суб'єкт персональних даних має право оскаржити дії або бездіяльність Оператора в Уповноважений орган по захисту прав суб'єктів персональних даних або в судовому порядку.

Суб'єкт персональних даних має право на захист своїх прав і законних інтересів, у тому числі на відшкодування збитків і (чи) компенсацію моральної шкоди в судовому порядку.

4. ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ ПЕРСОНАЛЬНИХ ДАНИХ

Безпека персональних даних, що обробляються Оператора, забезпечується реалізацією правових, організаційних і технічних заходів, необхідних для забезпечення вимог федерального законодавства в області захисту персональних даних.

Для відвертання несанкціонованого доступу до персональним цим Оператором застосовуються наступні організаційно-технічні заходи:

  • призначення посадовців, відповідальних за організацію обробки і захисту персональних даних;
  • обмеження складу осіб, що мають доступ до персональних даних;
  • ознайомлення суб'єктів з вимогами законодавства і нормативних документів Оператора по обробці і захисту персональних даних;
  • організація обліку, зберігання і звернення носіїв інформації;
  • визначення загроз безпеки персональних даних при їх обробці, формування на їх основі моделей загроз;
  • розробка на основі моделі загроз системи захисту персональних даних;
  • перевірка готовності і ефективності використання засобів захисту інформації;
  • розмежування доступу користувачів до інформаційних ресурсів і програмно-апаратних засобів обробки інформації;
  • реєстрація і облік дій користувачів інформаційних систем персональних даних;
  • використання антивірусних засобів і засобів відновлення системи захисту персональних даних;
  • застосування в необхідних випадках засобів міжмережевого екранування, виявлення вторгнень, аналізу захищеності і засобів криптографічного захисту інформації;
  • організація пропускного режиму на територію Оператора, охорону приміщень з технічними засобами обробки персональних даних.

5. ЗАВЕРШАЛЬНІ ПОЛОЖЕННЯ

Інші права і обов'язки Оператора, як оператора персональних даних визначаються законодавством України в області персональних даних.

Посадовці Оператора, винні в порушенні норм, що регулюють обробку і захист персональних даних, несуть матеріальну, дисциплінарну, адміністративну, цивільно-правову або кримінальну відповідальність в порядку, встановленому законами України.

Оберіть відповідь
Заповніть форму для запису на пробний