1. Введення
1.1. Найважливішою умовою реалізації цілей діяльності Евакуатора НЕТ (далі "Евакуатора НЕТ" або Оператор) є забезпечення необхідного та достатнього рівня інформаційної безпеки інформації, до якої, зокрема, належать персональні дані.1.2. Політика щодо обробки персональних даних у Евакуатора НЕТ (далі — Положення) визначає порядок збору, зберігання, передачі та інших видів обробки персональних даних у Евакуатора НЕТ (далі — Компанія), а також відомості про вимоги до захисту персональних даних, що реалізуються. .
1.3. Політика розроблена відповідно до чинного законодавства України.
2. Склад персональних даних
2.1. Відомостями, що становлять персональні дані, є будь-яка інформація, що відноситься до прямо чи опосередковано визначеної чи обумовленої фізичної особи (суб'єкта персональних даних). Детальний перелік персональних даних фіксується у локальній нормативній документації Евакуатора НЕТ.2.2. Всі персональні дані, що обробляються Евакуатора НЕТ, є конфіденційною, суворо охороняється інформацією відповідно до законодавства.
3. Цілі обробки персональних даних
3.1. Персональні дані обробляються Евакуатора НЕТ з метою оформлення трудових та інших договірних відносин, кадрового, бухгалтерського, податкового обліку, на підставах, передбачених ст.22 Федерального закону від 27.06.2006 № 152-ФЗ, 85-90 Трудового кодексу України, а також з метою організації та проведення Евакуатора НЕТ, (в т. ч. із залученням третіх осіб) програм лояльності, маркетингових та/або рекламних акцій, досліджень, опитувань та інших заходів; виконання Евакуатора НЕТ зобов'язань у межах договорів надання послуг; надання інших послуг суб'єктам персональних даних; просування послуг та/або товарів Евакуатора НЕТ та/або партнерів Евакуатора НЕТ на ринку шляхом здійснення прямих контактів з клієнтами Евакуатора НЕТ за допомогою різних засобів зв'язку, в т. ч., не обмежуючись, по телефону, електронною поштою , поштову розсилку, в мережі Інтернет і т. д.; з іншою метою, якщо дії Евакуатора НЕТ не суперечать чинному законодавству.3.2. Евакуатора НЕТ з метою належного виконання своїх обов'язків Оператора опрацьовує такі персональні дані, необхідні для належного виконання договірних зобов'язань:
персональні дані працівників Оператора, які перебувають у трудових відносинах з Оператором;
персональні дані інших фізичних осіб, у тому числі, але не обмежуючись, які перебувають у договірних, учнівських, цивільно-правових відносинах з Оператором, у тому числі, але не обмежуючись, учнів, клієнтів, постійних клієнтів, потенційних клієнтів.
4. Порядок збирання, зберігання, передачі та інших видів обробки персональних даних
4.1. Обробка персональних даних, що здійснюється без використання засобів автоматизації, здійснюється таким чином, щоб щодо кожної категорії персональних даних можна було визначити місця зберігання персональних даних (матеріальних носіїв). Оператором встановлено перелік осіб, які здійснюють обробку персональних даних або мають до них доступ. Забезпечується роздільне зберігання персональних даних (матеріальних носіїв), обробка яких здійснюється у різних цілях. Оператор забезпечує збереження персональних даних та вживає заходів, що унеможливлюють несанкціонований доступ до персональних даних.4.2. Обробка персональних даних, що здійснюється з використанням засобів автоматизації, проводиться за умови виконання наступних дій: Оператор проводить технічні заходи, спрямовані на запобігання несанкціонованому доступу до персональних даних та (або) передачі їх особам, які не мають права на доступ до такої інформації; захисні інструменти налаштовані своєчасне виявлення фактів несанкціонованого доступу до персональних даних; технічні засоби автоматизованої обробки персональних даних ізольовані з метою недопущення впливу на них, внаслідок якого може бути порушено їхнє функціонування; Оператор проводить резервне копіювання даних, щоб мати можливість негайного відновлення персональних даних, модифікованих або знищених внаслідок несанкціонованого доступу до них; здійснює постійний контроль забезпечення рівня захищеності персональних даних.
5. Відомості про реалізовані вимоги до захисту персональних даних
5.1. Оператор проводить такі заходи: визначає загрози безпеці персональних даних під час їх обробки, формує на їх основі моделі загроз; здійснює розробку на основі моделі загроз системи захисту персональних даних, що забезпечує нейтралізацію передбачуваних загроз з використанням методів та засобів захисту персональних даних, передбачених для відповідного класу інформаційних систем; формує план проведення перевірок готовності нових засобів захисту інформації до використання зі складанням висновків щодо можливості їх експлуатації; здійснює встановлення та введення в експлуатацію засобів захисту інформації відповідно до експлуатаційної та технічної документації; проводить навчання осіб, які використовують засоби захисту інформації, що застосовуються в інформаційних системах, правила роботи з ними; здійснює облік засобів захисту інформації, експлуатаційної та технічної документації до них, носіїв персональних даних; здійснює облік осіб, які допущені до роботи з персональними даними в інформаційній системі; здійснює контроль за дотриманням умов використання засобів захисту інформації, передбачених експлуатаційною та технічною документацією; вправі ініціювати розгляд та складання висновків за фактами недотримання умов зберігання носіїв персональних даних, використання засобів захисту інформації, які можуть призвести до порушення конфіденційності персональних даних або інших порушень, що призводять до зниження рівня захищеності персональних даних, розроблення та вжиття заходів щодо запобігання можливим небезпечним наслідкам порушень; має опис системи захисту персональних даних.5.2. Для розроблення та здійснення конкретних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційній системі Оператором або уповноваженою особою відповідальною є підрозділ інформаційних технологій Оператора. Особи, доступ яких до персональних даних, оброблюваних в інформаційній системі, необхідний виконання службових (трудових) обов'язків, допускаються до відповідних персональних даних виходячи з списку, затвердженого Оператором. Запити користувачів інформаційної системи на отримання персональних даних, а також факти надання персональних даних на ці запити реєструються автоматизованими засобами інформаційної системи в електронному журналі звернень. Зміст електронного журналу звернень періодично перевіряється відповідними посадовими особами (працівниками) Оператора чи уповноваженої особи. У разі виявлення порушень порядку надання персональних даних Оператор або уповноважена особа негайно припиняють надання персональних даних користувачам інформаційної системи до виявлення причин порушень та усунення цих причин.
6. Права та обов'язки оператора
6.1. Евакуатора НЕТ як Оператор персональних даних має право:відстоювати свої інтереси у суді;
надавати персональні дані суб'єктів третім особам, якщо це передбачено чинним законодавством (податкові, правоохоронні органи та ін.);
відмовляти у наданні персональних даних у випадках передбачених законодавством;
використовувати персональні дані суб'єкта без його згоди у випадках, передбачених законодавством.
7. Права та обов'язки суб'єкта персональних даних
7.1. Суб'єкт персональних даних має право:вимагати уточнення своїх персональних даних, їхнього блокування чи знищення у разі, якщо персональні дані є неповними, застарілими, недостовірними, незаконно отриманими або не є необхідними для заявленої мети обробки, а також вживати передбачених законом заходів щодо захисту своїх прав;
вимагати перелік своїх персональних даних, які обробляє Оператор і джерело їх отримання;
отримувати інформацію про терміни обробки своїх персональних даних, у тому числі терміни їх зберігання;
вимагати повідомлення всіх осіб, яким раніше були повідомлені невірні або неповні його персональні дані, про всі зроблені в них винятки, виправлення або доповнення;
оскаржити до уповноваженого органу захисту прав суб'єктів персональних даних або в судовому порядку неправомірні дії або бездіяльності при обробці його персональних даних;
на захист своїх прав та законних інтересів, у тому числі на відшкодування збитків та (або) компенсацію моральної шкоди у судовому порядку.
8. Заключні положення
8.1. Ця Політика підлягає зміні, доповненню у разі появи нових законодавчих актів та спеціальних нормативних документів щодо обробки та захисту персональних даних.8.2. Ця Політика є внутрішнім документом Евакуатора НЕТ та підлягає розміщенню на офіційному сайті Евакуатора НЕТ.
8.3. Контроль за виконанням вимог цієї Політики здійснюється відповідальним за забезпечення безпеки персональних даних Евакуатора НЕТ.
