Политика в области обработки и защиты персональных данных
Общества с ограниченной ответственностью «Сигнус»
1. Общие положения.
1.1. Настоящая политика в области обработки и защиты персональных данных Общества с ограниченной ответственностью «Сигнус» (ООО «Сигнус») ОГРН 1026500546522 (далее по тексту - Политика):
- разработана в целях обеспечения реализации требований законодательства РФ в области обработки персональных данных субъектов персональных данных, в том числе Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года;
- определяет основные принципы, цели, условия и способы обработки персональных данных (ПДн), перечни субъектов и состав персональных данных, обрабатываемых в ООО «Сигнус» (далее по тексту - Оператор), действия и операции, совершаемые с ПДн, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также перечень мер, применяемых Оператором в целях обеспечения безопасности и защиты персональных данных при их обработке;
- локальные нормативные акты и иные документы, регламентирующие обработку ПДн в ООО «Сигнус», в том числе при их обработке в информационных системах, содержащих ПДн, разрабатываются с учетом положений Политики;
- является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке персональных данных.
2. Основные термины и определения.
Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
3. Правовые основания и цели обработки персональных данных.
3.1. Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативно - правовыми актами РФ:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при обработке в информационных системах персональных данных»;
- Положение об обработке персональных данных, осуществляемых без использования средств автоматизации, утверждённое постановлением Правительства Российской Федерации от 15.09.2008 № 687;
- Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных».
- Налоговый кодекс Российской Федерации;
3.2. Цели обработки персональных данных:
3.2.1. Исполнение положений, нормативных, правовых актов, указанных в пункте 3.1 настоящей Политики;
3.2.2. Осуществление гражданско-правовых отношений;
3.2.3 Осуществление договорных отношений по продаже и поставкам товаров и услуг;
3.2.4. Иные законные цели.
4. Обрабатываемые ПДн и категории субъектов персональных данных.
4.1. Категории субъектов ПДн:
- клиенты оператора (физические лица) и представители/работники клиентов оператора (юридических лиц);
4.2. Обрабатываются следующие персональные данные клиентов операторов (физических лиц) и представителей/работников клиентов оператора (юридических лиц):
- фамилия, имя, отчество;
- число, месяц, год рождения;
- вид, серия, номер, документа, удостоверяющего личность, наименование органа, выдавшего документ, дата выдачи;
- адрес места жительства (адрес регистрации, фактического проживания);
- номер контактного телефона или сведения о других способах связи;
- адрес электронной почты
- идентификационный номер налогоплательщика;
- банковские реквизиты;
- номера кредитных и дебетовых карт;
- пол;
- и другие данные необходимые для осуществления договорных отношений по продаже и поставкам товаров и услуг.
5. Порядок и условия обработки персональных данных.
5.1 Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»:
- обработка ПДн должна осуществляться на законной и справедливой основе;
- обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей, не допускается обработка, несовместимая с целями сбора ПД;
- не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только ПДн, которые отвечают целям их обработки;
- содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки, обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- при обработке ПДн должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки, оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
- хранение ПДн должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.2 Оператор не осуществляет обработку биометрических (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) персональных данных.
5.3 Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни;
5.4 Оператор не осуществляет трансграничную передачу персональных данных (передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу).
5.5. Обработка персональных данных осуществляется:
– с согласия субъекта персональных данных на обработку его персональных данных;
– в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;
– в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных).
5.6. Обработка персональных данных всех категорий субъектов ПДн в ООО «Сигнус» включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
5.7. Получение сведений о персональных данных осуществляется на основании документов и информации, предоставленных лично самим субъектом ПДн. Оператор должен разъяснить субъекту юридические последствия отказа предоставления его ПДн.
5.8. Если ПДн субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее, и от него должно быть получено согласие. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПДн, характере подлежащих получению ПДн, перечне действий с ПДн, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.
5.9. Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение) субъектов ПДн в ООО «Сигнус» осуществляется путем:
- получения оригиналов необходимых документов;
- внесения сведений в учетные формы (на бумажных и электронных носителях);
- формирования ПДн в ходе осуществления гражданско-правовых отношений, договорных отношений по продаже и поставкам товаров и услуг;
- внесения ПДн в информационные системы ООО «Сигнус».
5.10. Обработка ПДн в ООО «Сигнус» ведется:
- с использованием средств автоматизации;
- без использования средств автоматизации.
5.11. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия субъекта персональных данных.
5.12. Хранение ПДн субъектов в ООО «Сигнус»:
- ПДн субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде.
- ПДн субъектов, зафиксированные на бумажных носителях, хранятся в запираемых сейфах и шкафах, в запираемых помещениях с ограниченным правом доступа;
- ПДн субъектов, обрабатываемые с использованием средств автоматизации, хранятся в разных папках;
- не допускается хранение и размещение документов, содержащих ПДн, в открытых электронных каталогах (файлообменниках) в ИСПДн.
5.13. Передача (распространение, предоставление) и использование ПДн субъектов осуществляется лишь в случаях и порядке, предусмотренных федеральными законами.
5.14. Оператор передает ПДн субъектов третьим лицам в следующих случаях:
- субъект выразил свое согласие на такие действия;
- передача предусмотрена российским законодательством в рамках установленной процедуры.
5.15. Перечень лиц, которым передаются ПДн субъектов:
- Налоговые органы РФ (на законных основаниях);
- Органы МВД России в случаях, установленных законодательством;
- Иные органы, когда обязанность передачи им сведений, относящихся к персональным данным субъекта, закреплена законом либо необходима для достижения установленных законом целей (например, органы дознания, следствия, суды, и т.п.).
5.16. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора поручения.
6. Меры по обеспечению безопасности персональных данных при их обработке.
6.1 Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.2 Обеспечение безопасности персональных данных достигается, в частности:
- назначением Оператором ответственного за организацию обработки персональных данных, ответственных за обработку персональных данных, администратора безопасности информационных систем персональных данных и ответственного за обеспечение защиты персональных данных;
- издание Оператором документов, определяющих политику Оператора в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
- осуществлением внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативно-правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки ПДн, локальным актам Оператора;
- оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых мер Оператором, направленных на обеспечение выполнения обязанностей Оператора;
- ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки ПДн, локальными актами по вопросам обработки персональных данных, и (или) обучением указанных работников;
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
- применением средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учетом машинных носителей персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
- определением перечня сотрудников, осуществляющих обработку персональных данных, мест хранения персональных данных;
- исключением возможности неконтролируемого пребывания посторонних лиц в помещениях, где ведется обработка персональных данных;
- определением уровней защищенности персональных данных при их обработке в информационных системах персональных данных;
- организацией парольной и антивирусной защиты в информационных системах персональных данных организации.
7. Права субъектов персональных данных и обязанности оператора.
7.1. Основные права субъекта ПДн:
7.1.1. Субъект имеет право на доступ к его ПДн, получение информации, касающейся обработки его ПДн:
- подтверждение факта обработки ПДн Оператором;
- правовые обоснования и цели обработки ПДн;
- применяемые Оператором способы обработки ПДн;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки ПДн, в том числе сроки их хранения Оператором;
- порядок осуществления субъектом ПДн прав, предусмотренных законодательством Российской Федерации в области обработки ПДн;
- наименование организации или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такой организации или лицу;
- иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.
7.1.2 Субъект персональных данных вправе требовать от Оператора уточнения обрабатываемых Оператором персональных данных субъекта ПДн, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.1.3. Сведения, касающиеся обработки ПДн, должны быть предоставлены Оператором субъекту ПДн в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.
7.1.4. Право субъекта персональных данных на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта ПДн к его персональным данным нарушает права и законные интересы третьих лиц.
7.1.5. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору, направить ему запрос. Оператор рассматривает любые обращения со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
7.1.6. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
7.1.7. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
7.2. Обязанности Оператора:
7.2.1. Оператор обязан:
- при сборе ПДн предоставить информацию об обработке персональных данных;
- в случаях, если ПДн были получены не от субъекта персональных данных, уведомить субъекта;
- при отказе в предоставлении ПДн субъекту разъясняются последствия такого отказа;
- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн;
- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
- давать ответы на запросы и обращения субъектов ПДн, их представителей и уполномоченного органа по защите прав субъекта ПДн.
8. Сроки обработки (хранения) персональных данных.
8.1. Течение срока обработки персональных данных начинается с момента их получения Оператором.
8.2. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъект персональных данных не дольше, чем того требуют цели их обработки.
8.3. Персональные данные клиентов оператора (физические лица) и представителей/работников клиентов оператора (юридических лиц)
8.4. Срок хранения ПДн, внесенных в ИСПДн организации, должен соответствовать сроку хранения бумажных оригиналов.
9. Уточнение, блокирование и уничтожение персональных данных.
9.1. Целью уточнения персональных данных, в том числе обновления и изменения, является обеспечение достоверности, полноты и актуальности персональных данных, обрабатываемых Оператором.
9.2. Уточнение персональных данных осуществляется Оператором по собственной инициативе, по требованию субъекта персональных данных или его представителя, по требованию уполномоченного органа по защите прав субъектов персональных данных в случаях, когда установлено, что персональные данные являются неполными, устаревшими, недостоверными.
9.3. Целью блокирования персональных данных является временное прекращение обработки персональных данных до момента устранения обстоятельств, послуживших основанием для блокирования персональных данных.
9.4. Блокирование персональных данных осуществляется Оператором по требованию субъекта персональных данных или его представителя, а также по требованию уполномоченного органа по защите прав субъектов персональных данных в случае выявления недостоверных персональных данных или неправомерных действий с ними.
9.5. Уничтожение персональных данных осуществляется Оператором:
- по достижении цели обработки персональных данных;
- в случае утраты необходимости в достижении целей обработки персональных данных;
- в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных;
- по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных в случае выявления фактов неправомерных действий с персональными данными, когда устранить соответствующие нарушения не представляется возможным.
9.6. При уничтожении материальных носителей персональных данных составляется акт об уничтожении носителей, содержащих персональные данные.
10. Заключительные положения.
10.1. Настоящая Политика является внутренним общедоступным документом Оператора, подлежит размещению для неограниченного доступа субъектов ПДн на официальном сайте Оператора www.shop-cygnus.ru
10.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
10.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных.
10.4. Ответственность должностных лиц Оператора, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Оператора.
