ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ
ООО «СИМПЛИ-КОНТАКТ»

ООО «СИМПЛИ-КОНТАКТ» (далее - Компания) уделяет большое внимание защите персональных данных клиентов, контрагентов и своих сотрудников. Политика конфиденциальности (далее - Политика) разработана в соответствии с требованиями Закона Украины «О защите персональных данных» от 01.06.2010 г.. № 2297-VI (далее - Закон 2297) и Генерального регламента о защите данных ЕС 2016/679 (EU General Data Protection Regulation, далее - GDPR). Определение терминов в этой Политике употребляется в значении, предусмотренном Законом 2297, дополнительные определения приведены в 1 главе.

1. ОСНОВНЫЕ ОПРЕДЕЛЕНИЯ

1.1. Персональные данные (ПД)— любые данные позволяют идентифицировать физическое лицо, включая, но не ограничиваясь перечисленным:

  • — имя (ФИО);
  • — идентификационные номера (серии, номера любых документов);
  • — данные о местонахождении;
  • — идентификатор в интернете (адрес электронной почты или другой онлайн-идентификатор, включая данные о посещении интернет ресурсов и т.п.);
  • — отдельные сведения или их совокупность характерные для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности физического лица.

1.2. Принципами обработки ПД являются:

  • — принцип законности, персональные данные должны обрабатываться только на законных основаниях;
  • — принцип совместимости, персональные данные должны быть получены с конкретными законными целями и обрабатываться в соответствии с ними;
  • — принцип адекватности и неизбыточности, персональные данные должны быть адекватными, а не избыточными, соответствовать целям обработки;
  • — принцип точности, персональные данные должны быть точными и аккуратными;
  • — принцип срочности хранения, персональные данные не должны храниться дольше, чем это определено соответствующими нормативно - правовыми актами;
  • — принцип соблюдения прав физического лица, персональные данные должны обрабатываться с соблюдением прав субъекта персональных данных, включая право на доступ к ним.

1.3. Офицер по защите данных (Data Protection Officer) — сотрудник Компании, на которого возложены функции контроля за соблюдением процедур обработки и защиты персональных данных. Контактные данные -is@simplycontact.com.ua.

1.4. Ответственное лицо— сотрудник Компании вовлечен в процесс обработки ПД и / или сопровождение вопросов, связанных с этой обработкой.

1.5. Обработка ПД— юбое действие или совокупность действий, таких как сбор, регистрация, накопление, хранение, адаптирование, изменение, восстановление, использование и распространение (предоставления доступа третьим лицам, реализация, передача), обезличивание, уничтожение персональных данных, в том числе с использованием информационных (автоматизированных) систем, осуществляется в строгом соответствии с определенными процедурами, с обязательным соблюдением:

  • — определенных условий их хранения;
  • — ограничение режима доступа к ним;
  • — полноты и целостности персональных данных.

1.6. Процедура обработки ПД— детализированное описание действий, которые выполняют Ответственные лица Компании при Обработки ПД, в котором указываются:

  • — цель обработки;
  • — перечень Ответственных лиц;
  • — порядок обмена данными;
  • — меры защиты;
  • — сроки хранения и порядок уничтожения;
  • — порядок контроля соответствия.

2. ВИДЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Внутренние ПД (ВПД) — персональные данные сотрудников Компании обрабатываются в базе ПД «СОТРУДНИКИ» с целью ведения кадрового делопроизводства, подготовки статистической, управленческой и другой отчетной информации по вопросам персонала. К категории персональных данных, обрабатываемых в базе ПД «СОТРУДНИКИ» относятся:

  • — паспортные данные (гражданство, фамилия, имя, отчество, дата, год рождения;
  • — личные сведения (пол, место фактического проживания, номера телефонов, фото, номер карточки физического лица - плательщика налогов);
  • — образование, название образовательного учреждения;
  • — данные, подтверждающие право работника на льготы, установленные законодательством о труде.

Бумажные копии первичных документов хранятся в личных делах сотрудников.

ВПД хранятся в Компании в течение действия трудовых отношений между сотрудником и компанией, а также 2 (два) года после их прекращения. В конце определенного срока указанные ВПД должны передаваться в архив для постоянного хранения в течение 75 лет.

По правовому статусу Компания является владельцем и распорядителем (Закон 2297) базы ПД «СОТРУДНИКИ».

2.2. Внешние ПД (ВнПД)— персональные данные, полученные от Заказчиков услуг Компании, обработка которых осуществляется на основании и в рамках выполнения заключенных договоров о предоставлении соответствующих услуг. Заказчик услуг Компании обеспечивает соблюдение требований законодательства по защите ПД перед передачей их Компании, а Компания в свою очередь - во время обработки.

ВнПД обрабатываются согласно процедуры обработки ПД, которая является неотъемлемой частью соглашения о предоставлении соответствующих услуг.

ВнПД хранятся в сроки определенные в Процедуре обработки ПД но в пределах сроков действия соответствующих соглашений с Заказчиком услуг Компании.

По окончанию действия соглашения о предоставлении соответствующих услуг все ВнПД передаются Заказчику по согласованному порядку. Остаточные данные, которые обрабатывались с помощью программно-технических комплексов Компании, а так же и архивные копии - обязательно уничтожаются. В случае технической невозможности полного уничтожения - обязательно проводится обезличивание остаточных данных.

По правовому статусу по отношению к ВнПД Компания является Распорядителем (Закон 2297) и обработчиком - Processor (GDPR), а Заказчик является Владельцем (Закон 2297) и контроллером - Controller (GDPR).

3. МЕРЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ОТ НЕЗАКОННОЙ ОБРАБОТКИ И НЕСАНКЦИОНИРОВАННОГО ДОСТУПА

Обработка персональных данных в программно-технических комплексах Компании осуществляется с применением средств сетевой защиты от несанкционированного доступа.

Доступ в программно-технические комплексы Компании осуществляется в строгом соответствии с действующими процедурами по управлению доступом.

Ответственные лица Компании допускаются к обработке персональных данных только после их авторизации. Доступ лиц, не прошедших процедуру идентификации и / или аутентификации блокируется. В информационной (автоматизированной) системе, где обрабатываются персональные данные, осуществляется регистрация, в частности:

  • — результатов идентификации и / или аутентификации ответственных лиц;
  • — действий по обработке персональных данных;
  • — результатов проверки целостности средств защиты персональных данных.

Подразделение ИТ Компании проводит анализ регистрационных данных. Регистрационные данные защищаются от модификации и уничтожения. Регистрационные данные хранятся и предоставляются по мотивированному требованию Офицеру по защите данных - для анализа, связанном с персональными данными.

Компания обеспечивает антивирусную защиту в информационной (автоматизированной) системе.

Степень доступа к обработке ПД (внесение изменений, формирование отчетов и аналитической информации, просмотр или другое при необходимости) определяется должностью ответственного лица.

Каждый сотрудник Компании составляет и собственноручно подписывает обязательство о сохранении информации с ограниченным доступом.

Оформленные надлежащим образом обязательства по сохранению информации с ограниченным доступом хранятся в личных делах ответственных лиц.

Руководители структурных подразделений осуществляют постоянный контроль за соблюдением подчиненными сотрудниками Процедуры обработки персональных данных, а также за законностью обработки персональных данных, защитой персональных данных при их обработке.

Обо всех выявленных фактах несанкционированного распространения ПД Компания оповещает субъектов ПД и Владельцев - контроллеров в срок, не превышающий 72 часа

Персональные данные, собранные с нарушением требований Закона 2297 подлежат удалению или уничтожению в базах персональных данных в установленном законодательством порядке.

4. ПРАВО ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ ТРЕТЬИХ ЛИЦ, СООБЩЕНИЕ О ДЕЙСТВИИ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ, ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ.

4.1 Основаниями для обработки персональных данных является:

  • — согласие субъекта персональных данных на обработку его персональных данных;
  • — разрешение на обработку персональных данных, предоставленных владельцу базы персональных данных в соответствии с законом исключительно для осуществления его полномочий;
  • — заключение и исполнение сделки, стороной которого является субъект персональных данных или который заключен в пользу субъекта персональных данных или для осуществления мероприятий, предшествующих заключению сделки по требованию субъекта персональных данных;
  • — защита жизненно важных интересов субъекта персональных данных;
  • — необходимость исполнения обязанностей владельца персональных данных, который предусмотренным Законом 2297;
  • — необходимость защиты законных интересов владельца персональных данных или третьего лица, которому передаются персональные данные, кроме случаев, когда необходимость защиты основных прав и свобод субъекта персональных данных в связи с обработкой его данных преобладает над такими интересами.

4.2. Порядок доступа к персональным данным третьих лиц определяется условиями согласия субъекта персональных данных, предоставленной владельцу персональных данных на обработку этих данных, или в соответствии с требованиями Закона 2297. Доступ к персональным данным третьему лицу не предоставляется, если указанное лицо отказывается взять на себя обязательства по обеспечению выполнения требований Закона 2297 или не может их обеспечить.

4.3. Субъект отношений, связанный с персональными данными, представляет Компании соответствующий запрос о доступе к персональным данным. Содержание запроса о доступе определен статьей 16 Закона 2297 и срок изучения данного запроса на предмет его удовлетворения не может превышать десяти рабочих дней со дня его поступления в Компанию.

В течение этого срока Компания доводит до сведения лица, подающего запрос, что запрос будет удовлетворен или соответствующие персональные данные не подлежат предоставлению, с указанием основания, определенном в соответствующем нормативно-правовом акте.

Запрос удовлетворяется в течение тридцати календарных дней со дня его поступления в Компанию, если иное не предусмотрено законодательством Украины.

4.4. Сообщение об отстранении доступа к персональным лиц третьих лиц приходится Компанией до сведения третьего лица, подавшего запрос, в письменной форме с разъяснением порядка обжалования такого решения в соответствии со статьей 17 Закона 2297.

Решение об отстранении или отказе в доступе к персональным данным может быть обжаловано у Уполномоченного или в суде.

4.5. О передаче персональных данных третьему лицу Компания, как владелец базы персональных данных, оповещает субъекта персональных данных в течение десяти рабочих дней, если этого требуют условия согласия или если иное не предусмотрено законодательством Украины в сфере защиты персональных данных.

4.6. Сообщения, указанные в п.4.5. этой Политики не осуществляются в случае:

передачи персональных данных по запросам при выполнении задач оперативно - розыскной или контрразведывательной деятельности, борьбы с терроризмом;

выполнения органами государственной власти и органами местного самоуправления своих полномочий, предусмотренных законом;

осуществление обработки персональных данных в исторических, статистических или научных целях.

4.7. Компания также в течение десяти рабочих дней уведомляет субъекта персональных данных, а также субъекта отношений, связанных с персональными данными, которым эти данные были переданы об изменении, удалении или уничтожении персональных данных или ограничения доступа к ним. Ответственными за своевременность предоставления сообщения уполномочены сотрудники Компании, предназначенные соответствующим приказом директора Компании.

4.8. В случаях нарушения требований законодательства о защите персональных данных Ответственные лица могут привлекаться к административной ответственности за совершение таких правонарушений.

4.9. За нарушение неприкосновенности частной жизни, а именно за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконное изменение такой информации виновные Ответственные лица могут привлекаться к уголовной ответственности.

4.10. Контроль за соблюдением законодательства о защите персональных данных в пределах полномочий, предусмотренных Законом 2297, осуществляет Уполномоченный и суды.

Cookies помогают нам предоставлять наши услуги. Используя наши услуги, вы соглашаетесь с использованием наших cookies. Подробнее