ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ООО "НАМ"
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1 Назначение документа
Настоящая Политика разработана в соответствии с п.1 ст.18.1 Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных» и определяет действия ООО «НАМ» (108811, г. Москва, Киевское ш., 22-й км (п. Московский), домовладен. 6, стр. 1, пом. XXV, ком. 1В, ИНН 7743892258, ОГРН 1137746521098) (далее - «Компания») в области обработки и защиты персональных данных (далее «ПДн»), а также раскрывает реализуемые в Компании меры по обеспечению безопасности ПДн при осуществлении Компанией своей деятельности.
Политика служит основой для разработки локальных нормативных актов, регламентирующих в Компании вопросы обработки и защиты ПДн.
1.2 Область применения
Настоящая Политика распространяется на все процессы Компании, в рамках которых осуществляется обработка ПДн.
Настоящая Политика распространяется на ПДн, которые получены Компанией как до, так и после ее введения в действие.
Во исполнение п. 2 ст. 18.1. Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных» обеспечение неограниченного доступа к Политике реализуется путем ее публикации в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Компании www.obuvnam.ru.
1.3. Обработка персональных данных осуществляется Компанией на законной и справедливой основе, правовыми основания для обработки являются:
• Конституция Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
• Федеральный закон от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• Федеральный закон от 24.07.2009 г. № 212-ФЗ «О страховых взносах в Пенсионный Фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;
• Федеральный закон от 22.10.2004 г. № 125-ФЗ «Об архивном деле в РФ»;
• Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• иные нормативно-правовые акты, содержащие положения о персональных данных.
1.4 Используемые сокращения
ИСПДн – Информационная система персональных данных, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
ПДн – Персональные данные
1.5 Используемые термины и определения
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных работников определенному лицу или определенному кругу лиц.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».
Распространение персональных данных - действия, направленные на раскрытие персональных данных работников неопределенному кругу лиц.
Субъект персональных данных – физическое лицо, обладающее персональными данными прямо или косвенно его определяющими.
Блокирование персональных данных - временное прекращение обработки персональных данных работников (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных работников и (или) в результате которых уничтожаются материальные носители персональных данных работников.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному работнику.
1.6 Утверждение и пересмотр
Настоящая Политика вступает в силу с момента ее утверждения и действует бессрочно. Компания вправе изменять настоящую Политику и актуализировать ее по мере необходимости, а также в следующих случаях:
• при изменениях положений законодательства РФ, включая законодательство в области ПДн;
• в случаях выявления несоответствий, затрагивающих обработку и (или) защиту ПДн;
• по результатам контроля выполнения требований по обработке и (или) защите ПДн;
• по решению руководства Компании.
При внесении изменений указывается дата последнего обновления редакции. Новая редакция вводится в действие приказом генерального директора Компании.
2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1 Общий порядок обработки
При организации обработки ПДн Компания руководствуется следующими принципами:
• обработка ПДн осуществляется на законной и справедливой основе;
• обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
• не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только ПДн, которые отвечают целям их обработки;
• содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки;
• при обработке ПДн обеспечивается точность ПДн, их достаточность и актуальность по отношению к целям обработки ПДн;
• хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
2.2 Компания в своей деятельности исходит из того, что субъект ПДн предоставляет точную и достоверную информацию, во время взаимодействия с Компанией, извещает ответственных лиц Компании об изменении своих ПДн.
3. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ КОМПАНИИ
3.1. Компания производит обработку ПДн в соответствии с договорными обязательствами (исполнение соглашений, договоров, в том числе трудовых, и обязательств), общехозяйственной деятельностью Компании, а также в соответствии с требованиями трудового, пенсионного, налогового и иного законодательства РФ.
3.2. В Компании производится обработка ПДн следующих категорий субъектов персональных данных:
• кандидаты на вакантные должности; лица, принятые для прохождения практики; работники Компании; бывшие работники Компании; родственники работников Компании;
• представители субъектов персональных данных – физических лиц;
• представители юридических лиц – контрагентов Компании;
• контрагенты/клиенты – физические лица в статусе индивидуальных предпринимателей;
• физические лица, с которыми Компанией заключаются и/или заключены договоры гражданско-правового характера;
• клиенты-потребители, в т. ч. покупатели продукции в торговых объектах Компании, посетители Компании.
3.3. Для каждой категории субъектов ПДн определены цели обработки ПДн и объем ПДН:
3.3.1. ПДн кандидатов на вакантные должности; лиц, принятых для прохождения практики; работников Компании; бывших работников Компании; родственников работников Компании.
3.3.1.1. Обработка ПДн кандидатов на вакантные должности, лиц, принятых для прохождения практики; работников Компании; бывших работников Компании; родственников работников Компании производится в целях обеспечения соблюдения законов Российской Федерации и иных нормативных правовых актов, содействия в обучении и потенциальном трудоустройстве, проверки деловых и личностных качеств, принятия решения о возможности приема на работу, обеспечение соблюдения требований трудового, пенсионного, страхового законодательства и иных требований действующего законодательства РФ в связи с возникновением, изменением и прекращением трудовых отношений, включая осуществление контроля качества и количества выполняемой работы, учета рабочего времени, обеспечения сохранности имущества, ведения единого кадрового учёта работников Компании, включая расчет и начисление заработной платы, ведение бухгалтерского учета Компании, включая оформление необходимых первичных документов (организация командировок, внутренних мероприятий Компании), обеспечения личной безопасности работников Компании, обеспечения выполнения положений и процедур Компании, продажа и доставка товаров Компании работникам Компании, предоставление дополнительной информации о Компании (в том числе информации о деятельности, реализуемых товарах/услугах), участия в корпоративных мероприятиях, поддержания дисциплины труда и порядка, предупреждения и предотвращения возникновения чрезвычайных ситуаций и обеспечения объективности расследований в случае их возникновения, соблюдения пропускного режима в помещениях Компании, обеспечения архивного хранения документов, предоставления гарантий и компенсаций, установленных действующим законодательством и локальными нормативными актами Компании, предоставление гарантий и компенсаций работникам Компании, а также с целью исполнения обязанностей, добровольно принятых Компанией в соответствии с локальными нормативными актами.
3.3.1.2. К ПДн кандидатов на вакантные должности; лиц, принятых для прохождения практики; работников Компании; бывших работников Компании; за исключением родственников работников Компании, обрабатываемым Компанией, относятся:
• информация, полученная на собеседовании в Компании, а также имеющейся в резюме;
• гражданство;
• фамилия, имя, отчество субъекта персональных данных;
• должность;
• стаж работы;
• семейное положение;
• наличие детей;
• данные документа, удостоверяющего личность;
• место проживания, регистрации (регион/город);
• дата рождения;
• номера контактных телефонов;
• адреса электронной почты (e-mail);
• профессиональное образование;
• данные страхового свидетельства государственного пенсионного страхования;
• идентификационный номер налогоплательщика;
• сведения о доходах;
• сведения о воинском учете;
• сведения о повышении квалификации, о профессиональной переподготовке;
• сведения о наградах (поощрениях), почетных званиях;
• сведения о социальных гарантиях;
• сведения о состоянии здоровья, влияющих на выполнение трудовой функции;
• иная информация (приведенный перечень может сокращаться или расширяться в зависимости от конкретного случая обработки).
3.3.1.3. К ПДн родственников работников Компании, обрабатываемым Компанией, относятся:
• фамилия, имя, отчество;
• дата и место рождения;
• данные документа, удостоверяющего личность;
• данные свидетельства о рождении ребенка;
• данные документа о заключении брака;
• номера контактных телефонов;
• иная информация (приведенный перечень может сокращаться или расширяться в зависимости от конкретного случая обработки).
3.3.2. ПДн представителей субъектов персональных данных – физических лиц
3.3.2.1. Обработка ПДн представителей субъектов персональных данных производится в целях обеспечения соблюдения прав и законных интересов субъекта персональных данных, уполномочившего представителя на представление его интересов во взаимоотношениях с Компанией.
3.3.2.2. К ПДн представителей субъектов персональных данных – физических лиц, обрабатываемых Компанией, относятся:
• фамилия, имя, отчество;
• пол;
• возраст;
• дата и место рождения;
• адреса места жительства и регистрации;
• номера контрактных телефонов;
• адреса электронной почты;
• данные документа, удостоверяющего личность;
• данные документа, который подтверждает полномочия представителя.
3.3.3. ПДн представителей юридических лиц - контрагентов Компании и контрагентов/клиентов – физических лиц в статусе индивидуальных предпринимателей.
3.3.3.1. Обработка ПДн представителей юридических лиц - контрагентов Компании и контрагентов/клиентов – физических лиц в статусе индивидуальных предпринимателей производится с целью взаимодействия с клиентами – юридическими лицами и индивидуальными предпринимателями по вопросам логистики, таможенного оформления грузов, платежам, по исполнению договоров, отправки юридически значимых сообщений, с целью осуществления рассылок по электронной почте, а также с целью обмена необходимой информацией.
3.3.3.2. К ПДн представителей субъектов персональных данных – физических лиц, обрабатываемых Компанией, относятся:
• фамилия, имя, отчество;
• пол;
• возраст;
• дата и место рождения;
• адреса места жительства и регистрации;
• номера контрактных телефонов;
• данные документа, удостоверяющего личность;
• данные документа, который подтверждает полномочия представителя.
3.3.4. ПДн физических лиц, с которыми Компанией заключаются и/или заключены договоры гражданско-правового характера
3.3.4.1. Обработка ПДн физических лиц, с которыми Компанией заключаются и/или заключены договоры гражданско-правового характера, производится в целях обеспечения соблюдения требований гражданского, пенсионного, страхового, налогового законодательства и иных требований действующего законодательства РФ в связи с возникновением, изменением и прекращением гражданско-правовых отношений, включая осуществление контроля качества и количества оказанных услуг/выполненных работ, в целях обеспечения сохранности имущества Компании.
3.3.4.2. К ПДн представителей субъектов персональных данных – физических лиц, обрабатываемых Компанией, относятся:
• фамилия, имя, отчество;
• пол;
• возраст;
• дата и место рождения;
• адреса места жительства и регистрации;
• номера контрактных телефонов;
• данные документа, удостоверяющего личность;
• данные документа, который подтверждает полномочия представителя.
3.3.5. ПДн клиентов – потребителей (физических лиц), в т. ч. покупателей продукции в торговых объектах Компании, посетителей Компании.
3.3.5.1. Обработка ПДн клиентов – потребителей (физических лиц), в т. ч. покупателей продукции в торговых объектах Компании, посетителей Компании, пользователей интернет-сайта Компании производится в следующих целях:
• исполнение обязательств Компании в рамках заключенных договоров;
• участия клиентов в акциях, проводимых Компанией;
• предоставление дополнительной информации о Компании (в том числе информации о деятельности, реализуемых товарах/услугах) посредством, включая, но не ограничиваясь, смс-сообщений, электронных писем, телефонных звонков, push-уведомлений;
• получение обратной связи в отношении товаров/услуг Компании (в том числе, включая, но не ограничиваясь, посредством смс-сообщений, электронных писем, телефонных звонков, push-уведомлений) и последующий анализ полученных данных;
• изучение и анализ рынка;
• проведение мероприятий (в том числе стимулирующих мероприятий рекламного характера);
• направление рекламных и информационных рассылок (в том числе в отношении товаров/услуг, реализуемых Компанией, в отношении деятельности Компании) по электронной почте, посредством смс-сообщений, телефонных звонков и иных способов связи, подтвержденных с субъектом персональных данных.
3.3.5.2. К ПДн клиентов-потребителей, в т. ч. покупателей продукции в торговых объектах Компании, принадлежащих Компании, обрабатываемым Компанией, относятся:
• фамилия, имя, субъекта персональных данных;
• пол субъекта персональных данных;
• дата рождения;
• номер мобильного телефона;
• адреса электронной почты (e-mail);
• иная информация (приведенный перечень может сокращаться или расширяться в зависимости от конкретного случая и целей обработки).
3.4. Перечень обрабатываемых ПДн определяется действующим законодательством РФ, а также локальными нормативными актами Компании.
3.5. В Компании осуществляется сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача (в том числе распространение, предоставление определенному кругу третьих лиц или определенному третьему лицу для достижения целей обработки, доступ, обезличивание, блокирование, удаление, уничтожение ПДн при их обработке как с использованием средств автоматизации, так и без использования таковых.
3.6. Точный объем ПДн, обрабатываемых Компанией, указывается в согласии на обработку ПДн.
4. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ЕЕ ПЕРЕДАЧИ ТРЕТЬИМ ЛИЦАМ
4.1. Компания организует обработку персональных данных в следующем порядке:
• назначает лицо, ответственное за организацию обработки персональных данных, устанавливает перечень лиц, имеющих доступ к персональным данным;
• издает настоящую Политику, локальные акты по вопросам обработки персональных данных;
• применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных;
• осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным актам Компании;
• осуществляет оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», определяет соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных данным Федеральным законом;
• знакомит работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящей Политики, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
4.2. Компания при обработке персональных данных принимает необходимые правовые, организационные и технические меры, в том числе:
• определяет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
• применяет организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
• оценивает эффективность принимаемых мер по обеспечению безопасности персональных данных;
• обнаруживает факты несанкционированного доступа к персональным данным и принимает необходимые меры;
• устанавливает правила доступа к персональным данным.
4.3. При обработке персональных данных Компания выполняет, в частности, сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
4.4. Обработка ПДн осуществляется Компанией следующими способами:
• неавтоматизированная обработка ПДн;
• автоматизированная обработка ПДн с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка ПДн.
4.5. Обработка ПДн осуществляется путем:
• получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
• получения персональных данных из общедоступных источников;
• внесения персональных данных в журналы, реестры, информационные системы и программы Компании;
• использования иных способов обработки персональных данных.
4.6. Компания обрабатывает ПДн субъектов ПДн в соответствии с локальными нормативными актами (внутренними процедурами и положениями), разработанными в соответствии с требованиями законодательства РФ в области ПДн и в рамках действующего законодательства.
При обработке ПДн субъекта обеспечивается их конфиденциальность, целостность и доступность. Передача ПДн третьим лицам для выполнения договорных обязательств осуществляется только с согласия субъекта ПДн, а для выполнения требований законодательства РФ – в рамках установленной законодательством процедуры.
4.7. Компания вправе поручить обработку ПДн другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора, при выполнении следующих условий:
• получено в установленной форме согласие субъекта ПДн на поручение обработки ПДн другому лицу;
• поручение обработки ПДн осуществляется на основании заключаемого с этим лицом договора, разработанного с учетом требований Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных».
Лицо, осуществляющее обработку ПДн по поручению Компании, обязано соблюдать принципы и правила обработки ПДн, несет ответственность перед Компанией. Компания несет ответственность перед субъектом ПДн за действия уполномоченного лица, которому Компания поручила обработку ПДн.
При обработке ПДн субъектов Компания руководствуется положениями Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».
4.8. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию после достижения целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.
4.9. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом персональных данных не установлен соответствующий срок хранения.
4.10. Обработка ПДн осуществляется после получения согласия субъекта ПДн. Согласие на обработку ПД должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку ПДн может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральными законами. Согласие может быть выражено в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, проставления символов, или оформлено в письменной форме в соответствии с законодательством. При отсутствии необходимости письменного согласия субъекта ПДн на обработку его ПДн согласие субъекта может быть дано субъектом ПДн или его представителем в любой позволяющей получить факт его получения форме.
4.11. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, биометрических персональных данных, Компанией не осуществляется.
5. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ ГРАЖДАН РОССИЙСКОЙ ФЕДЕРАЦИИ
5.1. В соответствии со статьей 2 Федерального закона от 21.07.2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» при сборе персональных данных, Компания обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением следующих случаев:
• обработка ПДн необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей;
• обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;
• обработка ПДн необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов РФ, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) на региональных порталах государственных и муниципальных услуг;
• обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
6. ПРАВА СУБЪЕКТА НА ДОСТУП И ИЗМЕНЕНИЕ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Для обеспечения соблюдения установленных законодательством прав субъектов ПДн в Компании разработан и введен порядок работы с обращениями и запросами субъектов ПДн, а также порядок предоставления субъектам ПДн информации, установленной законодательством РФ в области ПДн.
6.2. Порядок обеспечивает соблюдение следующих прав субъекта ПДн:
право на получение информации, касающейся обработки ПДн соответствующего субъекта ПДн, в том числе содержащей:
• подтверждение факта обработки ПДн;
• правовые основания и цели обработки ПДн;
• применяемые Компанией способы обработки ПДн;
• наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Компанией или на основании иных требований Федерального закона РФ от 27.07.2006 г. № г. 152-ФЗ «О персональных данных»;
• обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких ПДн не предусмотрен Федеральным законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
• сроки обработки ПДн, в том числе сроки их хранения;
• порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Компании, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные Федеральным законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных» или другими требованиями законодательства в области ПДн;
право на уточнение, блокирование или уничтожение своих ПДн, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также право принимать предусмотренные законодательством РФ в области ПДн меры по защите своих прав.
Запрос субъекта ПДн должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие, что субъект ПДн состоит в отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Компанией, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
7. ОБЯЗАННОСТИ И ПРАВА КОМПАНИИ
В соответствии с требованиями Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных» Компания обязуется:
осуществлять обработку ПДн с соблюдением принципов и правил, предусмотренных Федеральным законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено Федеральным законом РФ от 27.07.2006 г № 152-ФЗ «О персональных данных»;
представлять доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, в соответствии с которыми такое согласие не требуется;
осуществлять обработку ПДн только с согласия в письменной форме субъекта ПДн, в случаях, предусмотренных Федеральным законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
представлять субъекту ПДн или его представителю по запросу информацию, касающуюся обработки ПДн соответствующего субъекта ПДн, либо предоставить мотивированный отказ в предоставлении указанной информации, содержащий ссылку на положения Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных», в срок, не превышающий 10 (десяти) рабочих дней со дня обращения субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Компанией в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации;
разъяснять субъекту ПДн юридические последствия отказа предоставить его ПДн, если предоставление ПДн является обязательным в соответствии с Федеральным законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
вносить изменения в обрабатываемые ПДн по требованию субъекта ПДн или его представителя, в случае подтверждения факта неточности обрабатываемых ПДн соответствующего субъекта ПДн в течение семи рабочих дней;
блокировать обработку ПДн в случае выявления неправомерной обработки при обращении субъекта ПДн или его представителя, если блокирование ПДн не нарушает права и законные интересы соответствующего субъекта ПДн или третьих лиц;
в случае выявления неправомерной обработки ПДн, осуществляемой Компанией или лицом, действующим по поручению Компании, Компания в срок, не превышающий трех рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Компании. В случае, если обеспечить правомерность обработки ПДн невозможно, Компания в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязана уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Компания обязана уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;
в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Компания обязана с момента выявления такого инцидента Компанией, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
• в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Компанией на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
• в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
уведомлять субъекта ПДн или его представителя о всех изменениях, касающихся соответствующего субъекта ПДн;
вести журнал учета обращений субъектов ПДн, в котором фиксируются все запросы и обращения субъекта ПДн или его представителя;
прекращать обработку и уничтожать ПДн соответствующего субъекта ПДн, в случае достижения цели обработки ПДн в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Компанией и субъектом ПДн, либо Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных» или другими федеральными законами;
прекращать обработку ПДн и уничтожать ПДн соответствующего субъекта ПДн, в случае отзыва субъектом ПДн согласия на обработку своих ПДн в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Компанией и субъектом ПДн;
в случае обращения субъекта ПДн к Компании с требованием о прекращении обработки ПДн Компания обязана в срок, не превышающий десяти рабочих дней с даты получения Компанией соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПДн), за исключением случаев, предусмотренных Федеральным законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Компанией в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
В соответствии с положениями Федерального закона РФ от 27.07.2006 №152-ФЗ «О персональных данных» Компания имеет право:
осуществлять обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в ст.6, 10, 11 Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
отказать субъекту ПДн в выполнении запроса/повторного запроса в случае, если субъекту ПДн был предоставлен мотивированный ответ об отказе выполнения такого запроса;
осуществлять обработку ПДн без уведомления Роскомнадзора в случаях, предусмотренных Федеральным законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».
8. МЕРЫ, ПРИМЕНЯЕМЫЕ ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ
8.1. Компания принимает необходимые и достаточные организационные и технические меры для защиты ПДн субъектов ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
8.2. Меры по обеспечению безопасности ПДн, применяемые в Компании:
• назначение ответственного за организацию обработки ПДн;
• издание документов, определяющих политику Компании в отношении обработки ПДн, локальных нормативных актов по вопросам обработки ПДн, а также локальных нормативных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ в области ПДн, устранение последствий таких нарушений;
• оценка вреда, который может быть причинен субъектам ПДн в случае нарушения законодательства РФ в области ПДн, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения законодательства РФ в области ПДн;
• ознакомление работников Компании, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ в области ПДн, в том числе с требованиями к защите ПДн, с документами, определяющими политику Компании в отношении обработки ПДн, локальными нормативными актами по вопросам обработки ПДн, и (или) обучение указанных работников;
• определение угроз безопасности ПДн при их обработке в ИСПДн;
• применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
• применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
• учет машинных носителей ПДн;
• обнаружение фактов несанкционированного доступа к ПДн и принятие мер;
• восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
• контроль принимаемых мер по обеспечению безопасности ПДн и уровня защищенности ИСПДн.
9. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Уничтожение персональных данных должно соответствовать следующим требованиям:
• быть максимально надежным и конфиденциальным, исключая возможность последующего восстановления;
• оформляться юридически в виде акта об удалении (уничтожении) персональных данных;
• должно проводиться комиссией по уничтожению персональных данных;
• уничтожение должно касаться только тех персональных данных, которые подлежат уничтожению в связи с достижением целей обработки указанных персональных данных, утраты необходимости в их достижении, по требованию субъекта ПДн, либо в иных случаях, предусмотренных действующим законодательством РФ.
9.2. Носители ПДн субъектов персональных данных уничтожаются в составе Комиссии с использованием следующих средств:
• уничтожение ПДн, хранящихся в ИСПДн, осуществляется путем удаления соответствующих значений в базе данных средствами операционной системы компьютера, исключающего возможность восстановления этих данных;
• уничтожение ПДн, содержащихся на бумажных носителях, осуществляется путем измельчения на мелкие части (шредер), исключающие возможность последующего восстановления информации.
9.3. В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Компания обязана осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Компания обязана осуществить блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.
9.4. В срок, не превышающий 7 (семи) рабочих дней со дня получения от субъекта ПДн или его представителя сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Компания обязана внести в них необходимые изменения.
9.5. В срок, не превышающий 7 (семи) рабочих дней со дня получения от субъекта ПДн или его представителя сведений, подтверждающих, что его ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Компания обязана уничтожить такие ПДн.
9.6. Сведения, указанные в пп. 9.4. и 9.5., считаются полученными от субъекта ПДн или его представителя, если они предоставлены в виде письма на бумажном носителе за подписью субъекта ПДн или его представителя.
9.7. Субъект вправе отозвать согласие на обработку его ПДн путем направления по адресу Компании: Российская Федерация, 108811, г. Москва, Киевское шоссе, 22-й километр (п. Московский), домовладен. 6, стр. 1, пом. XXV, ком. 1В письменного уведомления с требованием об отзыве согласия на обработку ПДн. Компания прекращает обработку ПДн и уничтожает их в срок, не превышающий 30 (тридцати) календарных дней со дня получения такого уведомления, кроме данных, необходимых для хранения в соответствии с действующим законодательством Российской Федерации.
9.8. В случае обращения субъекта персональных данных к Компании с требованием о прекращении обработки ПДн Компания обязана в срок, не превышающий десяти рабочих дней с даты получения Компанией соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных Федеральным законом «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Компанией в адрес субъекта ПДн данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
9.9. В соответствии с п.4 ст. 21 Федерального закона «О персональных данных» при достижении целей Обработки ПДн в срок, не превышающий 30 дней, Компания уничтожает ПДн, за исключением случаев, если:
• Иное предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн;
• Компания вправе осуществлять обработку без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
• иное предусмотрено иным соглашением между Компанией и субъектом ПДн.
9.10. Компания обязана сообщить субъекту ПДн или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Компанией в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
9.11. В случае выявления неправомерной обработки персональных данных, осуществляемой Компанией или лицом, действующим по поручению Компании, Компания в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Компании. В случае, если обеспечить правомерность обработки персональных данных невозможно, Компания в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, обязана уничтожить такие персональные данные или обеспечить их уничтожение.
9.12. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в настоящем разделе 9 Компания осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
9.13. Компания прекращает обработку ПДн или обеспечивает прекращение такой обработки (если обработка осуществляется другим лицом, действующим по поручению Компании) и уничтожает ПДн или обеспечивает их уничтожение (если обработка осуществляется другим лицом, действующим по поручению Компании) в случаях и в сроки, установленные законодательством Российской Федерации.
10. РАССМОТРЕНИЕ ОБРАЩЕНИЙ И ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ
10.1. Обращения и запросы могут быть переданы субъектами ПДн или их законными представителями в Компанию лично или направлены почтой на адрес: Российская Федерация, 108811, г. Москва, Киевское шоссе, 22-й километр (п. Московский), домовладен. 6, стр. 1, пом. XXV, ком. 1В, либо направлены по электронной почте на адрес: customer-service@obuvnam.ru с указанием желаемого способа получения ответа от Компании: по почте или по электронной почте на адрес субъекта ПДн или его законного представителя, указанный в обращении или запросе.
10.2. Ответ на обращение или запрос предоставляется Компанией в течение 10 (десяти) рабочих дней с момента их получения.
10.3. Работники Компании, виновные в нарушении порядка обработки и защиты ПДн, несут ответственность, предусмотренную законодательством Российской Федерации и локальными актами Компании.
11. ЛИЦО, ОТВЕТСТВЕННОЕ ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Компания назначает лицо, ответственное за организацию обработки ПДн.
11.2. Лицо, ответственное за организацию обработки ПДн, получает указания непосредственно от генерального директора Компании.
11.3. Лицо, ответственное за организацию обработки ПДн, обязано:
• осуществлять контроль соблюдения Компанией и ее работниками законодательства РФ в области ПДн, а также внутренних организационно-распорядительных документов Компании по вопросам обработки и защиты ПДн;
• доводить до сведения работников Компании положения законодательства РФ в области ПДн, локальных нормативных актов по вопросам обработки ПДн, требований к защите ПДн;
• участвовать в пересмотре внутренних организационно-распорядительных документов Компании по вопросам обработки и защиты ПДн;
• организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль приема и обработки таких обращений и запросов;
• исполнять иные обязанности и нести иные права, определенные в соответствующем локальном нормативном акте Компании.
12. ОТВЕТСТВЕННОСТЬ ЗА РЕАЛИЗАЦИЮ ПОЛОЖЕНИЙ ПОЛИТИКИ
Работники Компании, осуществляющие обработку ПДн, а также лица, ответственные за организацию и обеспечение безопасности ПДн в Компании, несут ответственность за нарушение настоящей Политики, локальных нормативных актов Компании, иных требований, предусмотренных законодательством РФ в области ПДн в соответствии с действующим законодательством РФ.
13. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Настоящая Политика является общедоступной, размещена на официальном сайте Компании по адресу: www.obuvnam.ru
Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
1.1 Назначение документа
Настоящая Политика разработана в соответствии с п.1 ст.18.1 Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных» и определяет действия ООО «НАМ» (108811, г. Москва, Киевское ш., 22-й км (п. Московский), домовладен. 6, стр. 1, пом. XXV, ком. 1В, ИНН 7743892258, ОГРН 1137746521098) (далее - «Компания») в области обработки и защиты персональных данных (далее «ПДн»), а также раскрывает реализуемые в Компании меры по обеспечению безопасности ПДн при осуществлении Компанией своей деятельности.
Политика служит основой для разработки локальных нормативных актов, регламентирующих в Компании вопросы обработки и защиты ПДн.
1.2 Область применения
Настоящая Политика распространяется на все процессы Компании, в рамках которых осуществляется обработка ПДн.
Настоящая Политика распространяется на ПДн, которые получены Компанией как до, так и после ее введения в действие.
Во исполнение п. 2 ст. 18.1. Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных» обеспечение неограниченного доступа к Политике реализуется путем ее публикации в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Компании www.obuvnam.ru.
1.3. Обработка персональных данных осуществляется Компанией на законной и справедливой основе, правовыми основания для обработки являются:
• Конституция Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
• Федеральный закон от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• Федеральный закон от 24.07.2009 г. № 212-ФЗ «О страховых взносах в Пенсионный Фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;
• Федеральный закон от 22.10.2004 г. № 125-ФЗ «Об архивном деле в РФ»;
• Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• иные нормативно-правовые акты, содержащие положения о персональных данных.
1.4 Используемые сокращения
ИСПДн – Информационная система персональных данных, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
ПДн – Персональные данные
1.5 Используемые термины и определения
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных работников определенному лицу или определенному кругу лиц.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».
Распространение персональных данных - действия, направленные на раскрытие персональных данных работников неопределенному кругу лиц.
Субъект персональных данных – физическое лицо, обладающее персональными данными прямо или косвенно его определяющими.
Блокирование персональных данных - временное прекращение обработки персональных данных работников (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных работников и (или) в результате которых уничтожаются материальные носители персональных данных работников.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному работнику.
1.6 Утверждение и пересмотр
Настоящая Политика вступает в силу с момента ее утверждения и действует бессрочно. Компания вправе изменять настоящую Политику и актуализировать ее по мере необходимости, а также в следующих случаях:
• при изменениях положений законодательства РФ, включая законодательство в области ПДн;
• в случаях выявления несоответствий, затрагивающих обработку и (или) защиту ПДн;
• по результатам контроля выполнения требований по обработке и (или) защите ПДн;
• по решению руководства Компании.
При внесении изменений указывается дата последнего обновления редакции. Новая редакция вводится в действие приказом генерального директора Компании.
2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1 Общий порядок обработки
При организации обработки ПДн Компания руководствуется следующими принципами:
• обработка ПДн осуществляется на законной и справедливой основе;
• обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
• не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только ПДн, которые отвечают целям их обработки;
• содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки;
• при обработке ПДн обеспечивается точность ПДн, их достаточность и актуальность по отношению к целям обработки ПДн;
• хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
2.2 Компания в своей деятельности исходит из того, что субъект ПДн предоставляет точную и достоверную информацию, во время взаимодействия с Компанией, извещает ответственных лиц Компании об изменении своих ПДн.
3. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ КОМПАНИИ
3.1. Компания производит обработку ПДн в соответствии с договорными обязательствами (исполнение соглашений, договоров, в том числе трудовых, и обязательств), общехозяйственной деятельностью Компании, а также в соответствии с требованиями трудового, пенсионного, налогового и иного законодательства РФ.
3.2. В Компании производится обработка ПДн следующих категорий субъектов персональных данных:
• кандидаты на вакантные должности; лица, принятые для прохождения практики; работники Компании; бывшие работники Компании; родственники работников Компании;
• представители субъектов персональных данных – физических лиц;
• представители юридических лиц – контрагентов Компании;
• контрагенты/клиенты – физические лица в статусе индивидуальных предпринимателей;
• физические лица, с которыми Компанией заключаются и/или заключены договоры гражданско-правового характера;
• клиенты-потребители, в т. ч. покупатели продукции в торговых объектах Компании, посетители Компании.
3.3. Для каждой категории субъектов ПДн определены цели обработки ПДн и объем ПДН:
3.3.1. ПДн кандидатов на вакантные должности; лиц, принятых для прохождения практики; работников Компании; бывших работников Компании; родственников работников Компании.
3.3.1.1. Обработка ПДн кандидатов на вакантные должности, лиц, принятых для прохождения практики; работников Компании; бывших работников Компании; родственников работников Компании производится в целях обеспечения соблюдения законов Российской Федерации и иных нормативных правовых актов, содействия в обучении и потенциальном трудоустройстве, проверки деловых и личностных качеств, принятия решения о возможности приема на работу, обеспечение соблюдения требований трудового, пенсионного, страхового законодательства и иных требований действующего законодательства РФ в связи с возникновением, изменением и прекращением трудовых отношений, включая осуществление контроля качества и количества выполняемой работы, учета рабочего времени, обеспечения сохранности имущества, ведения единого кадрового учёта работников Компании, включая расчет и начисление заработной платы, ведение бухгалтерского учета Компании, включая оформление необходимых первичных документов (организация командировок, внутренних мероприятий Компании), обеспечения личной безопасности работников Компании, обеспечения выполнения положений и процедур Компании, продажа и доставка товаров Компании работникам Компании, предоставление дополнительной информации о Компании (в том числе информации о деятельности, реализуемых товарах/услугах), участия в корпоративных мероприятиях, поддержания дисциплины труда и порядка, предупреждения и предотвращения возникновения чрезвычайных ситуаций и обеспечения объективности расследований в случае их возникновения, соблюдения пропускного режима в помещениях Компании, обеспечения архивного хранения документов, предоставления гарантий и компенсаций, установленных действующим законодательством и локальными нормативными актами Компании, предоставление гарантий и компенсаций работникам Компании, а также с целью исполнения обязанностей, добровольно принятых Компанией в соответствии с локальными нормативными актами.
3.3.1.2. К ПДн кандидатов на вакантные должности; лиц, принятых для прохождения практики; работников Компании; бывших работников Компании; за исключением родственников работников Компании, обрабатываемым Компанией, относятся:
• информация, полученная на собеседовании в Компании, а также имеющейся в резюме;
• гражданство;
• фамилия, имя, отчество субъекта персональных данных;
• должность;
• стаж работы;
• семейное положение;
• наличие детей;
• данные документа, удостоверяющего личность;
• место проживания, регистрации (регион/город);
• дата рождения;
• номера контактных телефонов;
• адреса электронной почты (e-mail);
• профессиональное образование;
• данные страхового свидетельства государственного пенсионного страхования;
• идентификационный номер налогоплательщика;
• сведения о доходах;
• сведения о воинском учете;
• сведения о повышении квалификации, о профессиональной переподготовке;
• сведения о наградах (поощрениях), почетных званиях;
• сведения о социальных гарантиях;
• сведения о состоянии здоровья, влияющих на выполнение трудовой функции;
• иная информация (приведенный перечень может сокращаться или расширяться в зависимости от конкретного случая обработки).
3.3.1.3. К ПДн родственников работников Компании, обрабатываемым Компанией, относятся:
• фамилия, имя, отчество;
• дата и место рождения;
• данные документа, удостоверяющего личность;
• данные свидетельства о рождении ребенка;
• данные документа о заключении брака;
• номера контактных телефонов;
• иная информация (приведенный перечень может сокращаться или расширяться в зависимости от конкретного случая обработки).
3.3.2. ПДн представителей субъектов персональных данных – физических лиц
3.3.2.1. Обработка ПДн представителей субъектов персональных данных производится в целях обеспечения соблюдения прав и законных интересов субъекта персональных данных, уполномочившего представителя на представление его интересов во взаимоотношениях с Компанией.
3.3.2.2. К ПДн представителей субъектов персональных данных – физических лиц, обрабатываемых Компанией, относятся:
• фамилия, имя, отчество;
• пол;
• возраст;
• дата и место рождения;
• адреса места жительства и регистрации;
• номера контрактных телефонов;
• адреса электронной почты;
• данные документа, удостоверяющего личность;
• данные документа, который подтверждает полномочия представителя.
3.3.3. ПДн представителей юридических лиц - контрагентов Компании и контрагентов/клиентов – физических лиц в статусе индивидуальных предпринимателей.
3.3.3.1. Обработка ПДн представителей юридических лиц - контрагентов Компании и контрагентов/клиентов – физических лиц в статусе индивидуальных предпринимателей производится с целью взаимодействия с клиентами – юридическими лицами и индивидуальными предпринимателями по вопросам логистики, таможенного оформления грузов, платежам, по исполнению договоров, отправки юридически значимых сообщений, с целью осуществления рассылок по электронной почте, а также с целью обмена необходимой информацией.
3.3.3.2. К ПДн представителей субъектов персональных данных – физических лиц, обрабатываемых Компанией, относятся:
• фамилия, имя, отчество;
• пол;
• возраст;
• дата и место рождения;
• адреса места жительства и регистрации;
• номера контрактных телефонов;
• данные документа, удостоверяющего личность;
• данные документа, который подтверждает полномочия представителя.
3.3.4. ПДн физических лиц, с которыми Компанией заключаются и/или заключены договоры гражданско-правового характера
3.3.4.1. Обработка ПДн физических лиц, с которыми Компанией заключаются и/или заключены договоры гражданско-правового характера, производится в целях обеспечения соблюдения требований гражданского, пенсионного, страхового, налогового законодательства и иных требований действующего законодательства РФ в связи с возникновением, изменением и прекращением гражданско-правовых отношений, включая осуществление контроля качества и количества оказанных услуг/выполненных работ, в целях обеспечения сохранности имущества Компании.
3.3.4.2. К ПДн представителей субъектов персональных данных – физических лиц, обрабатываемых Компанией, относятся:
• фамилия, имя, отчество;
• пол;
• возраст;
• дата и место рождения;
• адреса места жительства и регистрации;
• номера контрактных телефонов;
• данные документа, удостоверяющего личность;
• данные документа, который подтверждает полномочия представителя.
3.3.5. ПДн клиентов – потребителей (физических лиц), в т. ч. покупателей продукции в торговых объектах Компании, посетителей Компании.
3.3.5.1. Обработка ПДн клиентов – потребителей (физических лиц), в т. ч. покупателей продукции в торговых объектах Компании, посетителей Компании, пользователей интернет-сайта Компании производится в следующих целях:
• исполнение обязательств Компании в рамках заключенных договоров;
• участия клиентов в акциях, проводимых Компанией;
• предоставление дополнительной информации о Компании (в том числе информации о деятельности, реализуемых товарах/услугах) посредством, включая, но не ограничиваясь, смс-сообщений, электронных писем, телефонных звонков, push-уведомлений;
• получение обратной связи в отношении товаров/услуг Компании (в том числе, включая, но не ограничиваясь, посредством смс-сообщений, электронных писем, телефонных звонков, push-уведомлений) и последующий анализ полученных данных;
• изучение и анализ рынка;
• проведение мероприятий (в том числе стимулирующих мероприятий рекламного характера);
• направление рекламных и информационных рассылок (в том числе в отношении товаров/услуг, реализуемых Компанией, в отношении деятельности Компании) по электронной почте, посредством смс-сообщений, телефонных звонков и иных способов связи, подтвержденных с субъектом персональных данных.
3.3.5.2. К ПДн клиентов-потребителей, в т. ч. покупателей продукции в торговых объектах Компании, принадлежащих Компании, обрабатываемым Компанией, относятся:
• фамилия, имя, субъекта персональных данных;
• пол субъекта персональных данных;
• дата рождения;
• номер мобильного телефона;
• адреса электронной почты (e-mail);
• иная информация (приведенный перечень может сокращаться или расширяться в зависимости от конкретного случая и целей обработки).
3.4. Перечень обрабатываемых ПДн определяется действующим законодательством РФ, а также локальными нормативными актами Компании.
3.5. В Компании осуществляется сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача (в том числе распространение, предоставление определенному кругу третьих лиц или определенному третьему лицу для достижения целей обработки, доступ, обезличивание, блокирование, удаление, уничтожение ПДн при их обработке как с использованием средств автоматизации, так и без использования таковых.
3.6. Точный объем ПДн, обрабатываемых Компанией, указывается в согласии на обработку ПДн.
4. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ЕЕ ПЕРЕДАЧИ ТРЕТЬИМ ЛИЦАМ
4.1. Компания организует обработку персональных данных в следующем порядке:
• назначает лицо, ответственное за организацию обработки персональных данных, устанавливает перечень лиц, имеющих доступ к персональным данным;
• издает настоящую Политику, локальные акты по вопросам обработки персональных данных;
• применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных;
• осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным актам Компании;
• осуществляет оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», определяет соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных данным Федеральным законом;
• знакомит работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящей Политики, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
4.2. Компания при обработке персональных данных принимает необходимые правовые, организационные и технические меры, в том числе:
• определяет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
• применяет организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
• оценивает эффективность принимаемых мер по обеспечению безопасности персональных данных;
• обнаруживает факты несанкционированного доступа к персональным данным и принимает необходимые меры;
• устанавливает правила доступа к персональным данным.
4.3. При обработке персональных данных Компания выполняет, в частности, сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
4.4. Обработка ПДн осуществляется Компанией следующими способами:
• неавтоматизированная обработка ПДн;
• автоматизированная обработка ПДн с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка ПДн.
4.5. Обработка ПДн осуществляется путем:
• получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
• получения персональных данных из общедоступных источников;
• внесения персональных данных в журналы, реестры, информационные системы и программы Компании;
• использования иных способов обработки персональных данных.
4.6. Компания обрабатывает ПДн субъектов ПДн в соответствии с локальными нормативными актами (внутренними процедурами и положениями), разработанными в соответствии с требованиями законодательства РФ в области ПДн и в рамках действующего законодательства.
При обработке ПДн субъекта обеспечивается их конфиденциальность, целостность и доступность. Передача ПДн третьим лицам для выполнения договорных обязательств осуществляется только с согласия субъекта ПДн, а для выполнения требований законодательства РФ – в рамках установленной законодательством процедуры.
4.7. Компания вправе поручить обработку ПДн другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора, при выполнении следующих условий:
• получено в установленной форме согласие субъекта ПДн на поручение обработки ПДн другому лицу;
• поручение обработки ПДн осуществляется на основании заключаемого с этим лицом договора, разработанного с учетом требований Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных».
Лицо, осуществляющее обработку ПДн по поручению Компании, обязано соблюдать принципы и правила обработки ПДн, несет ответственность перед Компанией. Компания несет ответственность перед субъектом ПДн за действия уполномоченного лица, которому Компания поручила обработку ПДн.
При обработке ПДн субъектов Компания руководствуется положениями Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».
4.8. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию после достижения целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.
4.9. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом персональных данных не установлен соответствующий срок хранения.
4.10. Обработка ПДн осуществляется после получения согласия субъекта ПДн. Согласие на обработку ПД должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку ПДн может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральными законами. Согласие может быть выражено в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, проставления символов, или оформлено в письменной форме в соответствии с законодательством. При отсутствии необходимости письменного согласия субъекта ПДн на обработку его ПДн согласие субъекта может быть дано субъектом ПДн или его представителем в любой позволяющей получить факт его получения форме.
4.11. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, биометрических персональных данных, Компанией не осуществляется.
5. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ ГРАЖДАН РОССИЙСКОЙ ФЕДЕРАЦИИ
5.1. В соответствии со статьей 2 Федерального закона от 21.07.2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» при сборе персональных данных, Компания обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением следующих случаев:
• обработка ПДн необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей;
• обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;
• обработка ПДн необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов РФ, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) на региональных порталах государственных и муниципальных услуг;
• обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
6. ПРАВА СУБЪЕКТА НА ДОСТУП И ИЗМЕНЕНИЕ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Для обеспечения соблюдения установленных законодательством прав субъектов ПДн в Компании разработан и введен порядок работы с обращениями и запросами субъектов ПДн, а также порядок предоставления субъектам ПДн информации, установленной законодательством РФ в области ПДн.
6.2. Порядок обеспечивает соблюдение следующих прав субъекта ПДн:
право на получение информации, касающейся обработки ПДн соответствующего субъекта ПДн, в том числе содержащей:
• подтверждение факта обработки ПДн;
• правовые основания и цели обработки ПДн;
• применяемые Компанией способы обработки ПДн;
• наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Компанией или на основании иных требований Федерального закона РФ от 27.07.2006 г. № г. 152-ФЗ «О персональных данных»;
• обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких ПДн не предусмотрен Федеральным законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
• сроки обработки ПДн, в том числе сроки их хранения;
• порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Компании, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные Федеральным законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных» или другими требованиями законодательства в области ПДн;
право на уточнение, блокирование или уничтожение своих ПДн, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также право принимать предусмотренные законодательством РФ в области ПДн меры по защите своих прав.
Запрос субъекта ПДн должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие, что субъект ПДн состоит в отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Компанией, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
7. ОБЯЗАННОСТИ И ПРАВА КОМПАНИИ
В соответствии с требованиями Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных» Компания обязуется:
осуществлять обработку ПДн с соблюдением принципов и правил, предусмотренных Федеральным законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено Федеральным законом РФ от 27.07.2006 г № 152-ФЗ «О персональных данных»;
представлять доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, в соответствии с которыми такое согласие не требуется;
осуществлять обработку ПДн только с согласия в письменной форме субъекта ПДн, в случаях, предусмотренных Федеральным законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
представлять субъекту ПДн или его представителю по запросу информацию, касающуюся обработки ПДн соответствующего субъекта ПДн, либо предоставить мотивированный отказ в предоставлении указанной информации, содержащий ссылку на положения Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных», в срок, не превышающий 10 (десяти) рабочих дней со дня обращения субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Компанией в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации;
разъяснять субъекту ПДн юридические последствия отказа предоставить его ПДн, если предоставление ПДн является обязательным в соответствии с Федеральным законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
вносить изменения в обрабатываемые ПДн по требованию субъекта ПДн или его представителя, в случае подтверждения факта неточности обрабатываемых ПДн соответствующего субъекта ПДн в течение семи рабочих дней;
блокировать обработку ПДн в случае выявления неправомерной обработки при обращении субъекта ПДн или его представителя, если блокирование ПДн не нарушает права и законные интересы соответствующего субъекта ПДн или третьих лиц;
в случае выявления неправомерной обработки ПДн, осуществляемой Компанией или лицом, действующим по поручению Компании, Компания в срок, не превышающий трех рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Компании. В случае, если обеспечить правомерность обработки ПДн невозможно, Компания в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязана уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Компания обязана уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;
в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Компания обязана с момента выявления такого инцидента Компанией, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
• в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Компанией на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
• в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
уведомлять субъекта ПДн или его представителя о всех изменениях, касающихся соответствующего субъекта ПДн;
вести журнал учета обращений субъектов ПДн, в котором фиксируются все запросы и обращения субъекта ПДн или его представителя;
прекращать обработку и уничтожать ПДн соответствующего субъекта ПДн, в случае достижения цели обработки ПДн в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Компанией и субъектом ПДн, либо Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных» или другими федеральными законами;
прекращать обработку ПДн и уничтожать ПДн соответствующего субъекта ПДн, в случае отзыва субъектом ПДн согласия на обработку своих ПДн в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Компанией и субъектом ПДн;
в случае обращения субъекта ПДн к Компании с требованием о прекращении обработки ПДн Компания обязана в срок, не превышающий десяти рабочих дней с даты получения Компанией соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПДн), за исключением случаев, предусмотренных Федеральным законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Компанией в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
В соответствии с положениями Федерального закона РФ от 27.07.2006 №152-ФЗ «О персональных данных» Компания имеет право:
осуществлять обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в ст.6, 10, 11 Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
отказать субъекту ПДн в выполнении запроса/повторного запроса в случае, если субъекту ПДн был предоставлен мотивированный ответ об отказе выполнения такого запроса;
осуществлять обработку ПДн без уведомления Роскомнадзора в случаях, предусмотренных Федеральным законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».
8. МЕРЫ, ПРИМЕНЯЕМЫЕ ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ
8.1. Компания принимает необходимые и достаточные организационные и технические меры для защиты ПДн субъектов ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
8.2. Меры по обеспечению безопасности ПДн, применяемые в Компании:
• назначение ответственного за организацию обработки ПДн;
• издание документов, определяющих политику Компании в отношении обработки ПДн, локальных нормативных актов по вопросам обработки ПДн, а также локальных нормативных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ в области ПДн, устранение последствий таких нарушений;
• оценка вреда, который может быть причинен субъектам ПДн в случае нарушения законодательства РФ в области ПДн, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения законодательства РФ в области ПДн;
• ознакомление работников Компании, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ в области ПДн, в том числе с требованиями к защите ПДн, с документами, определяющими политику Компании в отношении обработки ПДн, локальными нормативными актами по вопросам обработки ПДн, и (или) обучение указанных работников;
• определение угроз безопасности ПДн при их обработке в ИСПДн;
• применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
• применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
• учет машинных носителей ПДн;
• обнаружение фактов несанкционированного доступа к ПДн и принятие мер;
• восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
• контроль принимаемых мер по обеспечению безопасности ПДн и уровня защищенности ИСПДн.
9. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Уничтожение персональных данных должно соответствовать следующим требованиям:
• быть максимально надежным и конфиденциальным, исключая возможность последующего восстановления;
• оформляться юридически в виде акта об удалении (уничтожении) персональных данных;
• должно проводиться комиссией по уничтожению персональных данных;
• уничтожение должно касаться только тех персональных данных, которые подлежат уничтожению в связи с достижением целей обработки указанных персональных данных, утраты необходимости в их достижении, по требованию субъекта ПДн, либо в иных случаях, предусмотренных действующим законодательством РФ.
9.2. Носители ПДн субъектов персональных данных уничтожаются в составе Комиссии с использованием следующих средств:
• уничтожение ПДн, хранящихся в ИСПДн, осуществляется путем удаления соответствующих значений в базе данных средствами операционной системы компьютера, исключающего возможность восстановления этих данных;
• уничтожение ПДн, содержащихся на бумажных носителях, осуществляется путем измельчения на мелкие части (шредер), исключающие возможность последующего восстановления информации.
9.3. В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Компания обязана осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Компания обязана осуществить блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.
9.4. В срок, не превышающий 7 (семи) рабочих дней со дня получения от субъекта ПДн или его представителя сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Компания обязана внести в них необходимые изменения.
9.5. В срок, не превышающий 7 (семи) рабочих дней со дня получения от субъекта ПДн или его представителя сведений, подтверждающих, что его ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Компания обязана уничтожить такие ПДн.
9.6. Сведения, указанные в пп. 9.4. и 9.5., считаются полученными от субъекта ПДн или его представителя, если они предоставлены в виде письма на бумажном носителе за подписью субъекта ПДн или его представителя.
9.7. Субъект вправе отозвать согласие на обработку его ПДн путем направления по адресу Компании: Российская Федерация, 108811, г. Москва, Киевское шоссе, 22-й километр (п. Московский), домовладен. 6, стр. 1, пом. XXV, ком. 1В письменного уведомления с требованием об отзыве согласия на обработку ПДн. Компания прекращает обработку ПДн и уничтожает их в срок, не превышающий 30 (тридцати) календарных дней со дня получения такого уведомления, кроме данных, необходимых для хранения в соответствии с действующим законодательством Российской Федерации.
9.8. В случае обращения субъекта персональных данных к Компании с требованием о прекращении обработки ПДн Компания обязана в срок, не превышающий десяти рабочих дней с даты получения Компанией соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных Федеральным законом «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Компанией в адрес субъекта ПДн данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
9.9. В соответствии с п.4 ст. 21 Федерального закона «О персональных данных» при достижении целей Обработки ПДн в срок, не превышающий 30 дней, Компания уничтожает ПДн, за исключением случаев, если:
• Иное предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн;
• Компания вправе осуществлять обработку без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
• иное предусмотрено иным соглашением между Компанией и субъектом ПДн.
9.10. Компания обязана сообщить субъекту ПДн или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Компанией в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
9.11. В случае выявления неправомерной обработки персональных данных, осуществляемой Компанией или лицом, действующим по поручению Компании, Компания в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Компании. В случае, если обеспечить правомерность обработки персональных данных невозможно, Компания в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, обязана уничтожить такие персональные данные или обеспечить их уничтожение.
9.12. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в настоящем разделе 9 Компания осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
9.13. Компания прекращает обработку ПДн или обеспечивает прекращение такой обработки (если обработка осуществляется другим лицом, действующим по поручению Компании) и уничтожает ПДн или обеспечивает их уничтожение (если обработка осуществляется другим лицом, действующим по поручению Компании) в случаях и в сроки, установленные законодательством Российской Федерации.
10. РАССМОТРЕНИЕ ОБРАЩЕНИЙ И ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ
10.1. Обращения и запросы могут быть переданы субъектами ПДн или их законными представителями в Компанию лично или направлены почтой на адрес: Российская Федерация, 108811, г. Москва, Киевское шоссе, 22-й километр (п. Московский), домовладен. 6, стр. 1, пом. XXV, ком. 1В, либо направлены по электронной почте на адрес: customer-service@obuvnam.ru с указанием желаемого способа получения ответа от Компании: по почте или по электронной почте на адрес субъекта ПДн или его законного представителя, указанный в обращении или запросе.
10.2. Ответ на обращение или запрос предоставляется Компанией в течение 10 (десяти) рабочих дней с момента их получения.
10.3. Работники Компании, виновные в нарушении порядка обработки и защиты ПДн, несут ответственность, предусмотренную законодательством Российской Федерации и локальными актами Компании.
11. ЛИЦО, ОТВЕТСТВЕННОЕ ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Компания назначает лицо, ответственное за организацию обработки ПДн.
11.2. Лицо, ответственное за организацию обработки ПДн, получает указания непосредственно от генерального директора Компании.
11.3. Лицо, ответственное за организацию обработки ПДн, обязано:
• осуществлять контроль соблюдения Компанией и ее работниками законодательства РФ в области ПДн, а также внутренних организационно-распорядительных документов Компании по вопросам обработки и защиты ПДн;
• доводить до сведения работников Компании положения законодательства РФ в области ПДн, локальных нормативных актов по вопросам обработки ПДн, требований к защите ПДн;
• участвовать в пересмотре внутренних организационно-распорядительных документов Компании по вопросам обработки и защиты ПДн;
• организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль приема и обработки таких обращений и запросов;
• исполнять иные обязанности и нести иные права, определенные в соответствующем локальном нормативном акте Компании.
12. ОТВЕТСТВЕННОСТЬ ЗА РЕАЛИЗАЦИЮ ПОЛОЖЕНИЙ ПОЛИТИКИ
Работники Компании, осуществляющие обработку ПДн, а также лица, ответственные за организацию и обеспечение безопасности ПДн в Компании, несут ответственность за нарушение настоящей Политики, локальных нормативных актов Компании, иных требований, предусмотренных законодательством РФ в области ПДн в соответствии с действующим законодательством РФ.
13. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Настоящая Политика является общедоступной, размещена на официальном сайте Компании по адресу: www.obuvnam.ru
Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
