Политика обработки и защиты персональных данных
1. Общие положения
1.1. Целью настоящей Политики об обработке и защите персональных данных (далее - Политика) является обеспечение Ип Спирина НА (далее "Компания") процесса обработки персональных данных (далее также "ПД") согласно нормам и принципам действующего федерального законодательства.
1.2. Настоящая Политика распространяется на все бизнес процессы Компании и обязательна к выполнению всеми сотрудниками Компании.
1.3. Генеральный директор Компании является лицом, ответственным за организацию обработки персональных данных.
1.4. Для координации работ сторонних организаций, в случае их привлечения Компанией, и выполнения функций по облуживанию информационных систем, не требующих лицензии, приказом Генерального директора назначается ответственное лицо за обеспечение безопасности ПД в информационных системах Компании (далее – “Ответственный” за безопасность ПД).
2. Определения
2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно, определенному или определяемому физическому лицу (субъекту персональных данных);
2.2. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
2.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
2.4. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
2.5. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
2.6. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
2.7. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
2.8. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
2.9. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
2.10. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
2.11. Машинный носитель - магнитный диск, магнитная лента, лазерный диск и иные материальные носители, используемые для записи и хранения информации с помощью электронно-вычислительной техники.
3. Принципы и условия обработки ПД
3.1. Обработка ПД в Компании производится строго в соответствии со следующими принципами:
- Обработка ПД осуществляется на законной основе.
- Обработка ПД ограничивается достижением конкретных, заранее определенных и законных целей.
- Содержание и объем обрабатываемых ПД соответствуют заявленным целям обработки, Компания не обрабатывает избыточные персональные данных.
- При обработке обеспечивается точность ПД, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
- Обрабатываемые ПД уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.
3.2. Компания может включать ПД субъектов в общедоступные источники ПД, при этом Компания берет письменное согласие субъекта на обработку его ПД.
3.3. Компания не осуществляет обработку ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах.
3.4. Биометрические ПД (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПД), в Компании не обрабатываются.
3.5. Компания не осуществляет трансграничную передачу ПД.
3.6. В случаях, установленных законодательством Российской Федерации, Компания вправе осуществлять передачу ПД третьим лицам (федеральной налоговой службе, государственному пенсионному фонду иным государственным органам) в случаях, предусмотренных законодательством Российской Федерации.
3.7. Компания вправе поручить обработку ПД субъектов ПД третьим лицам на основании заключаемого с этими лицами договора. Компания может передавать ПД субъектам, на основании заключённого договора.
3.8. Лица, осуществляющие обработку ПД на основании заключаемого с Компанией договора (поручения оператора), обязуются соблюдать принципы и правила обработки и защиты ПД, предусмотренные Законом.
3.9. В целях исполнения требований действующего законодательства Российской Федерации и своих договорных обязательств обработка ПД в Компании осуществляется как с использованием, так и без использования средств автоматизации, т.е. смешанная обработка ПД.
3.10. Принятие решений, порождающих юридические последствия, на основании автоматизированной обработки ПД в Компании не осуществляется. В противном случае, необходимо соответствующее согласие субъектов ПД.
3.11. Обработка ПД в Компании должна осуществляться с согласия субъекта ПД, кроме случаев, когда такое согласие не требуется или же по поручению, в тех случаях когда Компания не является оператором ПД субъектов.
3.12. Согласие на обработку ПД должно удовлетворять следующим требованиям:
- согласие субъекта должно быть получено свободно, согласно воле субъекта и в его интересах;
- согласие должно быть дано субъектом ПД в любой позволяющей подтвердить факт его получения форме.
3.13. Сроки обработки (хранения) ПД определяются исходя из целей обработки ПД, в соответствии со сроком действия договора с субъектом ПД, требованиями федеральных законов, требованиями операторов ПД, по поручению которых Компания осуществляет обработку ПД, основными правилами работы архивов организаций, сроками исковой давности.
3.14. ПД, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом. Хранение ПД после прекращения их обработки допускается только после их обезличивания.
4. Правовые основания и цели обработки ПД
4.1. Обработка и обеспечение безопасности ПД в Компании осуществляется в соответствии с требованиями Конституции Российской Федерации, Закона, Трудового кодекса Российской Федерации, подзаконных актов, других определяющих случаи и особенности обработки ПД федеральных законов Российской Федерации, руководящих и методических документов ФСТЭК России и ФСБ России.
4.2. Субъектами ПД, обрабатываемых Компанией, являются:
- кандидаты на вакантные должности;
- работники Компании, родственники работников Компании, в пределах определяемых законодательством Российской Федерации, если сведения о них предоставляются работником;
- лица, входящие в органы управления Компании и не являющимися работниками;
- физические лица, с которыми Компанией заключаются договоры гражданско-правового характера;
- представители юридических лиц – контрагентов Компании;
- клиенты – потребители, в т.ч. посетители сайта, принадлежащего Компании: www.tashamartens.com (далее – «Сайт»), в том числе с целью оформления заказа с последующей доставкой клиенту;
4.3. Компания осуществляет обработку ПД субъектов в следующих целях:
- осуществления возложенных на Компанию законодательством Российской Федерации функций, полномочий и обязанностей в соответствии с федеральными законами, в том числе, но не ограничиваясь: Гражданским кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Семейным кодексом Российской Федерации, Федеральным законом от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Федеральным законом от 28.03.1998 г. № 53-ФЗ «О воинской обязанности и военной службе», Федеральным законом от 26.02.1997 г. № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации», Федеральным законом от 8.02.1998 г. №14-ФЗ «Об обществах с ограниченной ответственностью», Федеральным законом от 07.02.1992 №2300-1 «О защите прав потребителей», Федеральным законом от 21.11.1996 г. № 129-ФЗ «О бухгалтерском учете», Федеральным законом от 29.11.2010 г. № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», а также операторами ПД, уставом и локальными актами Компании.
Работников в целях:
- соблюдения трудового, налогового и пенсионного законодательства Российской Федерации, а именно:
- содействия работникам в трудоустройстве, обучении и продвижении по службе;
- расчета и начисления заработной платы;
- организация деловых поездок (командировок) работников;
- оформления доверенностей (в том числе для представления интересов Компании перед третьими лицами);
- обеспечения личной безопасности работников;
- контроля количества и качества выполняемой работы;
- сохранности имущества;
- соблюдения пропускного режима в помещениях Компании;
- учета рабочего времени;
Кандидатов на вакантные должности в целях:
- принятия решения о возможности заключения трудового договора с лицами, претендующими на имеющиеся вакансии;
Лиц, входящих в органы управления Компании, не являющихся работниками, в целях:
- выполнения требований, предусмотренных законодательством, в т.ч. обязательное раскрытие информации, аудит, проверка возможности совершения сделок, в том числе сделок с заинтересованностью и/или крупных сделок.
Контрагентов-физических лиц в целях:
- заключения и исполнения договора, одной из сторон которого является физическое лицо;
- рассмотрения возможностей дальнейшего сотрудничества.
Представителей юридических лиц – контрагентов Компании в целях:
- ведения переговоров, заключение и исполнение договоров, по которым предоставляются ПД работников такого юридического лица для целей исполнения договора по различным направлениям хозяйственной деятельности Компании.
Участников бонусных программ лояльности в целях:
- предоставления информации по товарам, проходящим акциям, состоянию лицевого счета;
- идентификация участника в программе лояльности; обеспечение процедуры учета накопления и использования бонусов;
- исполнения Компанией обязательств по программе лояльности.
Клиентов – потребителей в целях:
- предоставления информации по товарам/услугам, проходящим акциям и специальным предложениям;
- анализа качества предоставляемого Компанией сервиса и улучшению качества обслуживания клиентов Компании;
- информирования о статусе заказа;
- исполнения договора, в т.ч. договора купли-продажи, в.т.ч. заключенного дистанционным способом на Сайтах, возмездного оказания услуг;
- доставки заказанного товара клиенту, совершившему заказ на Сайтах, возврата товара.
4.4. Компания может осуществлять обработку персональных данных клиентов, полученных онлайн - в сети Интернет (Сайты, мобильные приложения, социальные сети, электронная почта), офлайн - магазины (бутики), точки продаж, мероприятия (путем заполнения печатных регистрационных форм), а также при звонке в колл-центры (центры поддержки клиентов).
5. Права и обязанности субъектов ПД
5.1. Субъект, ПД которого обрабатываются Компанией, имеет следующие права:
- получать от Компании информацию, касающуюся обработки его ПД (в том числе содержащую подтверждение факта обработки ПД, правовые основания, цели, обработки, сроки обработки, сроки хранения, наименование и адрес лица, осуществляющего обработку ПД по поручению Компании, если обработка поручена или будет поручена такому лицу, иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных");
- требовать от Компании уточнения своих ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- отозвать свое согласие на обработку ПД в любой момент.
5.2. Сведения предоставляются субъекту ПД на основании запроса. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПД или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПД в отношениях с Компанией, либо сведения иным образом подтверждающие факт обработки ПД Клиентом, подпись субъекта или его представителя.
5.3. Запрос может быть направлен по адресу местонахождения компании: РФ, Амурская область, г.Благовещенск, ул.Ленина 150, цокольный этаж, в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской федерации.
6. Права и Обязанности Компании
6.1. Компания в процессе обработки ПД обязана:
- предоставлять субъекту ПД по его запросу информацию, касающуюся обработки его ПД, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса субъекта ПД или его представителя;
- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
- опубликовать в сети Интернет и обеспечить неограниченный доступ с использованием сети Интернет документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;
- предоставить субъектам ПД и/или их представителям безвозмездно возможность ознакомления с Данными при обращении с соответствующим запросом в течение 30 дней с даты получения подобного запроса;
- осуществить блокирование неправомерно обрабатываемых ПД, относящихся к субъекту ПД, или обеспечить их блокирование (если обработка ПД осуществляется другим лицом, действующим по поручению Компании) с момента обращения или получения запроса на период проверки, в случае выявления неправомерной обработки ПД при обращении субъекта ПД или его представителя либо по запросу субъекту ПД или его представителя, либо уполномоченного органа по защите прав субъектов ПД;
- уточнить ПД либо обеспечить их уточнение (если обработка ПД осуществляется другим лицом, действующим по поручению Компании) в течение 7 рабочих дней со дня представления сведений и снять блокирование ПД, в случае подтверждения факта неточности ПД на основании сведений, представленных субъектом ПД или его представителем;
- прекратить неправомерную обработку ПД или обеспечить прекращение неправомерной обработки ПД лицом, действующим по поручению Компании, в случае выявления неправомерной обработки ПД, осуществляемой Компанией или лицом, действующим на основании договора с Компанией, в срок, не превышающий 3 рабочих дней с даты этого выявления;
- прекратить обработку ПД или обеспечить ее прекращение (если обработка ПД осуществляется другим лицом, действующим по договору с Компанией) и уничтожить ПД или обеспечить их уничтожение (если обработка ПД осуществляется другим лицом, действующим по договору с Компанией) по достижения цели обработки ПД, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, в случае достижения цели обработки ПД;
- прекратить обработку ПД или обеспечить ее прекращение и уничтожить ПД или обеспечить их уничтожение в случае отзыва субъектом ПД согласия на обработку ПД, если Компания не вправе осуществлять обработку ПД без согласия субъекта ПД;
- вести журнал учета обращений субъектов ПД, в котором должны фиксироваться запросы субъектов ПД на получение ПД, а также факты предоставления ПД по этим запросам.
7. Обеспечение безопасности ПД при их обработке
7.1. При обработке ПД Компания принимает необходимые правовые, организационные и технические меры для защиты ПД от неправомерного и/или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД.
7.2. К таким мерам в соответствии с Законом, в частности, относятся:
- назначение лица, ответственного за организацию обработки ПД, и лица, ответственного за обеспечение безопасности ПД;
- разработка и утверждение локальных актов по вопросам обработки и защиты ПД;
- применение правовых, организационных и технических мер по обеспечению безопасности ПД:
- определение угроз безопасности ПД при их обработке в информационных системах персональных ПД;
- применение организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах ПД, необходимых для выполнения требований к защите ПД, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПД;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы ПД;
- учет машинных носителей ПД, если хранение ПД осуществляется на машинных носителях;
- обнаружение фактов несанкционированного доступа к Данным и принятие мер по недопущению подобных инцидентов в дальнейшем;
- восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к Данным, обрабатываемым в информационной системе ПД, а также обеспечение регистрации и учета всех действий, совершаемых с Данными в информационной системе ПД.
- контроль за принимаемыми мерами по обеспечению безопасности ПД и уровнем защищенности информационных систем ПД;
- оценка вреда, который может быть причинен субъектам ПД в случае нарушения требований Закона, соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом;
- соблюдение условий, исключающих несанкционированный доступ к материальным носителям ПД и обеспечивающих сохранность ПД;
- ознакомление работников Компании, непосредственно осуществляющих обработку ПД, с положениями законодательства Российской Федерации о ПД, в том числе с требованиями к защите ПД, локальными актами по вопросам обработки и защиты ПД, и обучение работников Компании.
7.3. Требования к обработке ПД на материальных носителях:
- Работники, осуществляющие обработку ПД на материальных носителях, до начала обработки должны быть проинформированы о категориях ПД, об особенностях и правилах обработки ПД.
- Работник Компании отвечает за хранение и уничтожение материальных носителей с ПД, с которыми он работает.
- ПД, обрабатываемые на материальных носителях, должны храниться на отдельно от иной информации.
- Хранение материальных носителей ПД осуществляется только при наличии действующего согласия субъекта ПД на обработку ПД или действующего договора, стороной которой является субъект ПД.
- В Компании осуществляется хранение резюме и анкет кандидатов на вакантные должности в независимости принят кандидат в штат или нет. Хранение данных резюме и анкет может осуществляться только с согласия кандидата на обработку его ПД, с указанием срока действия согласия. В случаях истечения срока обработки ПД или требования субъекта ПД об уничтожении ПД, резюме и анкеты уничтожаются с использованием шредера.
- Хранение материальных носителей ПД в открытом доступе в рабочих помещениях подразделений Компании и на столах работников допускается только в течение рабочего дня, под персональной ответственностью работника. По окончании работы с материальным носителем работник должен убрать материальный носитель в запираемый шкаф, закрепленный за работником, или в шкаф непосредственного руководителя. Доступ к шкафам должен быть ограничен перечнем лиц, имеющих доступ к ПД.
- В случае окончания срока обработки ПД работник осуществляет уничтожение бумажных носителей ПД с использованием шредера без оформления акта об уничтожении.
7.4. Ревизия осуществляется независимо каждым работником в отношении материальных носителей ПД, с которыми он работает. В ходе ревизии должны быть выявлены бумажные носители ПД, которые не требуются работникам для дальнейшего выполнения своих трудовых обязанностей.
7.5. Работники Компании получают доступ к ПД исключительно в объеме, необходимом для выполнения своих должностных обязанностей.
8. Ответственность за нарушения норм, регулирующих обработку ПД
8.1. Обеспечение конфиденциальности ПД, обрабатывающихся в Компании, является обязательным требованием для всех работников, которым ПД стали известны, как в связи с рабочей деятельностью, так и по случайности или ошибке.
8.2. Работники несут персональную ответственность за соблюдение требований по обработке и обеспечению безопасности ПД, установленных в Компании.
8.3. В случаях нарушения установленного порядка обработки и обеспечения безопасности ПД, несанкционированного доступа к ПД, раскрытия ПД и нанесения компанией, ее работникам, клиентам и контрагентам материального или иного ущерба виновные лица несут ответственность, предусмотренную действующим законодательством Российской Федерации.
9. Заключительные положения
9.1. Настоящая Политика является локальным нормативным актом Компании. Настоящая Политика является общедоступной. Общедоступность настоящей Политики обеспечивается путем ее опубликования на Сайтах, размещением в магазинах (бутиках) и на сетевом диске, доступном для всех работников Компании.
9.2. Настоящая Политика может быть пересмотрена в силу изменения норм действующего законодательства или по решению Компании.