Политика обработки персональ­ных данных

1. Общие Политики

1.1. Настоящая Политика по обработке персональных данных (далее — Положение) разработана в соответствии с Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных».

1.2. Цель разработки Политики:

• — определение порядка обработки персональных данных работников, клиентов Организации и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий оператора;
• — обеспечение защиты прав и свобод человека и гражданина, в т. ч. работника Организации, при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных;
• — обеспечение работы сервисов веб-сайтов и сбор статистики посещения веб-сайтов, а также вывод релевантной рекламы;
• — подбор кандидатов на работу в Организации;
• — сбор обратной связи;
• — осуществление информационной рассылки;
• — обеспечение соблюдения законодательства РФ (в т.ч. исполнение судебных актов);
• — осуществление прав и законных интересов Организации или третьих лиц, либо достижение общественно значимых целей;

Данная политика действует в отношении всех персональных данных (далее — данные), которые Организация может получить от субъекта персональных данных, являющегося стороной по гражданско-правовому договору, от пользователя сети Интернет (далее — Пользователь) во время использования им любого из сайтов, сервисов, служб, программ, продуктов или услуг, а также от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством.

1.3. Настоящая Политика вступает в силу с момента его утверждения руководителем Организации и действует бессрочно, до замены его новым Положением.

1.4. Все изменения в Политику вносятся приказом.

2. Основные понятия и состав персональных данных

2.1. Для целей настоящего Политики используются следующие основные понятия:

• — персональные данные — любая информация, относящаяся к определённому или определяемому на основании такой информации субъекту персональных данных, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы;
• — обработка персональных данных — сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных;
• — конфиденциальность персональных данных — обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или иного законного основания;
• — распространение персональных данных — действия, направленные на передачу персональных данных определённому кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
• — использование персональных данных — действия (операции) с персональными данными, совершаемые должностным лицом Организации в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
• — блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных работников, в том числе их передачи;
• — уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
• — обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту;
• — общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
• — информация — сведения (сообщения, данные) независимо от формы их представления;
• — документированная информация — зафиксированная на материальном носителе путём документирования информация с реквизитами, позволяющими определить такую информацию или её материальный носитель;
• — Оператор — организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является лица, которым субъектом персональных данных предоставлено право на обработку персональных данных, в соответствии с согласием.

3. Сбор, обработка и защита персональных данных

3.1. Порядок получения персональных данных.

3.1.1. Все персональные данные следует получать от самого субъекта. Если персональные данные субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.

3.1.2. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных, перечне действий с персональными данными, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.

4. Обработка персональных данных.

4.1. Обработка персональных данных осуществляется:

• — с согласия субъекта персональных данных на обработку его персональных данных;
• — в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;
• — в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных).

4.2. Цели обработки персональных данных:

• — осуществление трудовых отношений;
• — осуществление гражданско-правовых отношений;
• — для идентификации пользователей (посетителей) сайта, интернет-магазина, для связи с пользователем, в том числе направление уведомлений, запросов и информации, касающихся использования сайта магазина, исполнения соглашений и договоров, а также обработки запросов и заявок от пользователя;
• — обезличивания персональных данных для получения обезличенных статистических данных, которые передаются третьему лицу для проведения исследований, выполнения работ или оказания услуг по поручению магазина.

4.3. Категории субъектов персональных данных:

• — физические лица, состоящие с Организацией в трудовых отношениях;
• — физические лица, уволившиеся из Организации;
• — физические лица, являющиеся кандидатами на работу;
• — физические лица, состоящие с Организацией в гражданско-правовых отношениях;
• — физические лица, являющиеся пользователями сайта Организации.

4.4. Персональные данные, обрабатываемые Оператором:

• — данные, полученные при осуществлении трудовых отношений;
• — данные, полученные для осуществления отбора кандидатов на работу;
• — данные, полученные при осуществлении гражданско-правовых отношений;
• — данные, полученные от пользователей с помощью интернет-ресурса.

4.5. Обработка персональных данных ведётся:

• — с использованием средств автоматизации;
• — без использования средств автоматизации.

5. Передача и хранение персональных данных

5.1. При передаче персональных данных Организация должна соблюдать следующие требования:

• 5.1.1. Не сообщать персональные данные третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.
• 5.1.2. Не сообщать персональные данные в коммерческих целях без его письменного согласия.
• 5.1.3. Предупредить лиц, получивших персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные, обязаны соблюдать режим секретности (конфиденциальности).
• Разрешать доступ к персональным данным только специально уполномоченным лицам, установленных Приказом Организации, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
• 5.1.4. Осуществлять передачу персональных данных в пределах Организации в соответствии с настоящим Положением.

6. Хранение персональных данных.

6.1. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

6.2. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.

6.3. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.

6.4. Не допускается хранение и размещение документов, содержащих персональных данных, в открытых электронных каталогах (файлообменниках) в ИСПД.

6.5 Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

7. Передача персональных данных.

7.1. Оператор передаёт персональные данные третьим лицам в следующих случаях:

• — субъект выразил своё согласие на такие действия;
• — передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.

8. Основные права субъекта персональных данных и обязанности Оператора

8.1 Основные права субъекта персональных данных. Субъект имеет право на доступ к его персональным данным и следующим сведениям:

• — подтверждение факта обработки персональных данных Оператором;
• — правовые основания и цели обработки персональных данных;
• — цели и применяемые Оператором способы обработки персональных данных;
• — наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
• — сроки обработки персональных данных, в том числе сроки их хранения;
• — порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
• — наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
• — обращение к Оператору и направление ему запросов;
• — обжалование действий или бездействия Оператора.

8.2. Обязанности Оператора.

Оператор обязан:

• — при сборе персональных данных предоставить информацию об обработке персональных данных;
• — в случаях если персональные данные были получены не от субъекта персональных данных, уведомить субъекта;
• — при отказе в предоставлении персональных данных субъекту разъясняются последствия такого отказа;
• — опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
• — принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
• — давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.

9. Система защиты персональных данных

Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические), средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.

При обработке персональных данных в информационных системах Компании должно быть обеспечено:

• ∙ Проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации.
• ∙ Своевременное обнаружение фактов несанкционированного доступа к персональным данным.
• ∙ Недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование.
• ∙ Возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
• ∙ Постоянный контроль над обеспечением уровня защищённости персональных данных.

Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

10.1 Работники Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.