Політика Конфіденційності
ТОВ«СОЛГАР Витамин»
- Загальні положення
- Справжня політика конфіденційності розроблена на основі статей Конституції України,, Трудового кодексу, Кодексу України про адміністративні порушення, Громадського кодексу, Федерального закону від 08.2018 р. №188.39 Кодексу України про адміністративні правопорушення в області захисту та обробки персональних даних.
- Персональні дані відносяться до категорії конфіденційної інформації. Режим конфіденційності персональних даних знімається в випадку знеособлення або по закінченню 75 років строку збереження, якщо інше не виділено законом.
- Справжнє положення затверджується та вводиться в дію наказом генерального директора і є обов’язковим для виконання всіма, хто має доступ до персональних даних.
- Оператор має право вносити зміни в справжню Політику. При внесенні змін нова редакція Політики вступає в силу і строк, вказаний в відповідному наказі, або на слідуючий день після ознайомлення з новою редакцією Політики.
- Терміни і визначення
- Персональні дані-будь яка інформація, що відноситься на пряму або безпосередньо до певної чи визначеної фізичної особи (суб’єкта персональних даних);
- Оператор- організація, самостійно чи сумісно з іншими особами яка організовує та (або) здійснює обробку персональних даних, а також визначає цілі обробки персональних даних, склад персональних даних, підлягаючих обробці, дії (операції) здійснені з персональними даними. В рамках Політики оператором є ТОВ «СОЛГАР Вітамін» (далі «Спільнота»);
- Обробка персональних даних- будь яка дія (операція) чи сукупність дій (операцій), вчинених з використанням засобів автоматизації чи без використання таких засобів з персональними даними, включаючи збір, запис, систематизацію, накопичення, збереження, уточнення (оновлення, зміни), вилучення, використання, передача (розповсюдження, надання, доступ) знеособлення, блокування, видалення, знищення персональних даних;
- Автоматизована обробка персональних даних- обробка персональних даних за допомогою засобів обчислювальної техніки;
- Розповсюдження персональних даних- дія, направлення на розкриття персональних даних не визначеним фізичним особам;
- Надання персональних даних- дія, направлення на розкриття персональних даних визначеній особі чи визначеній кількості осіб;
- Блокування персональних даних- тимчасове припинення обробки персональних даних (за виключенням випадків, коли обробка необхідна для уточнення персональних даних);
- Знищення персональних даних- дія, в результаті якої стає неможливим відновлення персональних даних в інформаційній системі персональних даних та (або) в результаті якої знищуються матеріальні носії персональних даних;
- Знеособлення персональних даних- дія, в результаті якої стає неможливим без використання додаткової інформації визначити належність персональних даних конкретній особі персональних даних;
- Інформаційна система персональних даних- сукупність персональних даних, які знаходяться в базах і забезпечують їх обробку інформаційних технологій і технічних засобів;
- Транскордонна передача персональних даних- передача персональних даних на територію іноземного господарства, органу влади іноземного господарства, іноземній фізичній особі чи іноземній юридичній особі;
- Спеціальні категорії персональних даних- особливі категорії персональних даних, які відносяться до расової, національної належності, політичних поглядів, релігійних та філософських переконань, членства в профспілках, стану здоров’я та інтимного життя;
- Біометричні персональні дані- відомості, які характеризують фізіологічні та біологічні особливості людини, на основі яких можна встановити її особистість;
- Загальнодоступні джерела персональних даних- загальнодоступні джерела даних, в які з письмової згоди суб’єкта персональних даних можуть включатися персональні дані, повідомлені суб’єктом персональних даних;
- Відповідальний за організацію обробки персональних даних- фізична чи юридична особа, назначена ТОВ «СОЛГАР Вітамін» відповідальною за організацію обробки персональних даних;
- Підрозділ-ініціатор- підрозділ Оператора, який приймає рішення про обробку персональних даних та організовує обробку персональних даних в рамках підрозділу.
- Ціль політики
- Цілями даної Політики є:
- Забезпечення потреби захисту прав и свободи людини і громадянина при обробці персональних даних, в тому числі захисту прав на недоторканність особистого життя, особисту та сімейну таємницю;
- Захист персональних даних від несанкціонованого доступу, неправомірного їх використання або втрати зі сторони співробітників Общини, не допущених до роботи з персональними даними
- Виключення незаконного втручання в інформаційні ресурси Общини зі сторони третіх осіб.
- Політика встановлює:
- Цілями даної Політики є:
- порядок збору персональних даних
- дії оператора по збору, систематизації, накопичення, збереження, уточнення, знищення персональних даних
- порядок передачі персональних даних третій стороні
- перелік посадових осіб, які мають доступ до персональних даних
- склад персональних даних, що підлягають збору та збереженню
- цілі збору персональних даних.
- Загальні принципи обробки персональних даних
- Обробка персональних даних повинна проводитись на законні і справедливій основі.
- Обробка персональних даних повинна обмежуватись досягненням конкретних, раніше виділених і законних цілей. Не допускається обробка персональних даних, несумісна з цілями збору персональних даних.
- Не допускається об’єднання баз даних, які містять персональні дані , обробка яких здійснюється в цілях, несумісних між собою.
- Обробці підлягають тільки персональні дані, які відповідають цілям їх обробки.
- Вміст і об’єм персональних даних, що обробляються повинні співпадати заявленим цілям обробки. Персональні дані, які обробляються не повинні бути збитковими по відношенню до заявлених цілей їх обробки.
- При обробці персональних даних повинні бути обезпечені точність персональних даних, їх достатність, а в необхідних ситуаціях і актуальність по відношенню до цілей обробки персональних даних.
- Збереження персональних даних повинно здійснюватися не довше, чим цього потребують цілі обробки персональних даних, якщо строк збереження персональних даних не визначений Федеральним законом, договором, стороною якій належить.
- Персональні дані, що обробляються підлягають знищенню чи знеособленню по досяганню цілі обробки або в випадку втрати необхідності досягання цих цілей, якщо інше не передбачено Федеральним законом.
- Джерелом інформації про всі персональні дані є безпосередньо сам суб’єкт персональних даних на основі власної письмової згоди.
4.10 В випадку, якщо персональні дані можна можливо отримати тільки у третьої сторони, то суб’єкт персональних даних повинен бути повідомленим про це і від нього повинен бути отриманий письмовий дозвіл, крім випадків прямо передбачених діючим законодавством.
4.11 Спільнота не має право збирати та обробляти персональні дані про їх расову, національну належність, політичні погляди, релігіозні чи філософські переконання, членстві в громадських об’єднаннях чи їх профспілкової діяльності, особистого життя, за виключенням випадків, передбачених діючим законодавством.
4.12 Згода на збір та обробку персональних даних може бути відкликана суб’єктом персональних даних. В випадку відкликання суб’єктом персональних даних згоди на обробку персональних даних оператор має право продовжити обробку персональних даних при наявності передбачених підстав законом. Заключення про наявність підстав для продовження обробки персональних даних після відкликання згоди надається Генеральним директором ТОВ «СОЛГАР Вітамін» відповідальному за організацію обробки персональних даних Спільноти.
- Захист персональних даних
5.1. захист персональних даних являє собою жорстко регламентований і динамічно-технологічний процес, який попереджує про порушення допустимого, цілісності, достовірності і конфіденційності персональних даних і зрештою забезпечуючий достатньо надійну безпеку інформації в процесі управительської та виробничої діяльності компанії.
5.2. захист персональних даних від неправомірного їх використання або втрати забезпечується Общиною за рахунок його засобів, встановлених федеральними законами.
5.3. Для забезпечення внутрішнього захисту персональних даних необхідно дотримуватись ряду мір: обмеження і регламентація складу, функціональні обов’язки яких потребують конфіденційних знань;- суворий вибірковий і оснований розподіл документів та інформації; – раціональне розміщення робочих місць, при якому виключалося би безконтрольне використання захищаючою інформації;- знання потреб нормативно-методичних документів про захист інформації та збереження таємниці;- наявність необхідних умов в приміщенні для роботи з конфіденційними документами та базами даних;- визначення і регламентація складу, який має право доступу (входу)в приміщення, в якому знаходиться вираховувальна техніка з базами даних;- організація порядку знищення інформації;- своєчасне виявлення порушень вимог розширювальної системи доступу підрозділу;- виховна і пояснювальна робота з працівниками підрозділу по попередженню втрати цінних відомостей при роботі з конфіденційними документами.
5.4. Для забезпечення зовнішнього захисту персональних даних необхідно дотримуватись ряду мір:- порядок прийому, обліку і контролю відвідувачів;- пропускний режим організації;- технічні засоби охорони;- вимоги до захисту інформації при інтерв’ю та співбесідах.
- Права та обов’язки
- Закріплення прав, які регламентують захист персональних даних, забезпечуючи збереження повної і точної інформації.
- В цілях захисту персональних даних:
- Виключення та виправлення неправильних або не повних персональних даних;
- Персональні дані оцінюючого характеру доповнюються заявою;
- Визначати своїх представників для захисту своїх персональних даних;
- На збереження та захист своєї особистої та сімейної таємниці;
- На підтвердження Общиною цілі обробки персональних даних;
- На надання інформації про строки обробки персональних даних, в тому числі строки їх збереження;
Оскаржити в уповноваженому органі по захисту суб’єктів персональних даних або в судовому порядку дії чи бездіяльність Общини, якщо вважати що останній, проводить обробку його персональних даних з порушенням Федерального закону «Про персональні дані» або іншим чином порушує його права і свободу.
6.3 Община зобов’язана:- в випадку неправомірної обробки персональних даних, здійснюваної Общиною, в строк, не перевищуючи трьох робочих днів з дати цього виявлення, обов’язково зупинити неправомірну обробку персональних даних. Про усунення допущених порушень Община повинна повідомити суб’єкта персональних даних, Община повинна припинити обробку персональних даних і знищити персональні дані в строк, не перевищуючий 30 робочих днів з дати досягнення цілі обробки персональних даних, якщо інше не передбачено в договорі, стороною яка є суб’єктом персональних даних;- приймати на основі виключно автоматизованої обробки персональних даних рішення, які породжують юридичні наслідки в відношенні суб’єкта персональних даних або іншим способом порушують його права та законні інтереси.
- Відповідальність за розголошення інформації, пов’язаної з персональними даними
- Персональна відповідальність- одне з головних вимог до організації функціонування системи захисту персональної інформації і обов’язкова умова забезпечення ефективності цієї системи.
- Община, в відповідності своїм повноваженням володіючи інформацією, отримуючи і використовуючи її, несе відповідальність в відповідності з законодавством України за порушення режиму захисту, обробки і порядку використання цієї інформації.
- Керівник, який дає дозвіл доступу до конфіденційного документу, несе особисту відповідальність за дане рішення.
- Кожний член Общини, який отримує для роботи конфіденційний документ, несе особисту відповідальність за збереження носія і конфіденціальність інформації.
- Ті хто винен в порушенні норм, регулюючих отримання, обробку та захист персональних даних, несуть дисциплінарну, адміністративну, громадсько- правову або кримінальну відповідальність в відповідності з федеральними законами:
7.5.1. за невиконання або не правильне виконання по його вині покладеної на нього відповідальності по збереженню порядку роботи зі свідками конфіденційного характеру Община має право примати передбачені трудовим кодексом дисциплінарні стягнення.
7.5.2 Посадові обличчя, в обов’язки яких входить ведення персональних даних, повинні забезпечити кожному можливість ознайомлення з документами та матеріалами, небезпосередньо чіпаючи його права та свободи, якщо інше не передбачене законом.
Неправомірна відмова в наданні зібраних в установленому порядку, або несвоєчасне надання таких документів чи іншої інформації в випадках, передбачених законом, або надання не повної чи завідомо неправдивої інформації- тягне накладення на посаду обличь адміністративного штрафу в розмірі, що вирішує кодекс про адміністративні порушення.
7.5.3 Кримінальна відповідальність за порушення недоторканної частини життя( в тому числі незаконний збір та розповсюдження інформації про особисте життя, складаючи його особисту чи сімейну таємницю, без його згоди), неправомірний доступ до інформації, що охороняється законом комп’ютерної інформації, неправомірна відмова в наданні зібраних і установленому порядку документів та відомостей (якщо ці діяння заподіяли шкоду правам і законним інтересам) здійснені обличчям з використанням його службового положення карається штрафом, або позбавленням права займати посаду чи займатись відповідною діяльність, або арештом в відповідності до закону.
- Порядок роботи з персональними даними в Общині
8.1. Поняття і склад персональних даних в Общині
8.1.1. Персональні дані – інформація, необхідна Общині в зв’язку з трудовими відносинами стосуючись конкретної людини. Під інформацією розуміються відомості про анкетно -біологічні факти та обставини життя, які дозволяють ідентифікувати особистість.
8.2. Обробка персональних даних
8.2.1. Під поняттям обробка персональних даних мається на увазі отримання, збереження, комбінування, внесення уточнень в персональні дані.
8.2.2. Для обробки персональних даних Община використовує комп’ютерні бази даних (1С різних версій, ел. пошту), табличні форми будь-яких редакторів, копії документів на паперовому носії.
8.2.3. Згода на обробку персональних даних повинна бути отримана в письмовій формі. Формами згоди в залежності від цілі обробки персональних даних є:
- фамілія, ім’я, по батькові, адреса суб’єкта персональних даних, номер основного документу, який підтверджує його особу , відомості про дату видачі указаного документу і органу, який його видав;
- найменування або фамілія, ім’я, по батькові і адреса оператора, який отримав дозвіл суб’єкта персональних даних;
- ціль обробки персональних даних;
- список персональних даних, на обробку яких дається згода суб’єкта персональних даних;
- перелік дій з персональними даними, на здійснення яких дається згода, загальний опис способів обробки персональних даних, які використовує оператор;
- строк, протягом якого діє згода суб’єкта на обробку персональних даних, а також спосіб його відгуку, якщо інше не встановлено законом;
- підпис суб’єкта персональних даних. Рівнозначним вмістимому власноручний підпис суб’єкта персональних даних згоді в письменній формі на паперовому носії признається згода в формі електронного документу, підписаного в відповідності до закону файлом унікального електронного підпису.
8.3. Знищення персональних даних
8.3.1. Персональні дані знищуються, якщо суб’єкт даних надає підтвердження того, що в ситуація, яка склалась ціль оброки даних вичерпана, не обґрунтована і тим паче не правомірна (за виключенням випадків, коли законодавством передбачено зворотне).
8.3.2. Знищення персональних даних або носіїв персональних даних здійснюється людиною, яка відповідальна за організацію роботи з персональними даними.