политика о порядке работы с персональными данными ООО "ГЛЯНЦМАСТЕР"

I. Общие положения

1.1. Настоящая Политика разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утв. постановлением Правительства РФ от 15.09.2008 г. № 687, «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утв. постановлением Правительства РФ от 01.11.2012 г. № 1119, иными нормативными актами в области защиты персональных данных, действующими на территории Российской Федерации.

1.2. ООО «ГЛЯНЦМАСТЕР» согласно законодательству Российской Федерации, является оператором персональных данных.

1.3. Основные понятия, используемые в Политике:

а) ООО «ГЛЯНЦМАСТЕР» – организация, которая осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

б) Клиент – посетитель Интернет-сайта, предоставивший свое согласие на обработку своих персональных данных, а также субъект персональных данных, находящийся в договорных отношениях с ООО «ГЛЯНЦМАСТЕР».

в) Работник – физическое лицо, которое работает в ООО «ГЛЯНЦМАСТЕР»;

г) Уволенный работник – бывший работник, с которым расторгнут либо прекращен трудовой или гражданско-правовой договор.

д) Персональные данные — любая информация, сохраненная в любом формате, прямо или косвенно относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), которая сама по себе или в сочетании с другой информацией, имеющейся в распоряжении организации, позволяет идентифицировать личность физического лица;

з) Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

и) Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

к) Использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

л) Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

м) Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных работников;

н) Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному лицу;

о) Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

1.4. Настоящая Политика устанавливает порядок обработки персональных данных клиентов, с использованием средств автоматизации и без использования таковых средств, а также порядок обработки персональных данных работников организации и уволенных работников.

1.5. Настоящая Политика обязательна к исполнению всеми сотрудниками организации, осуществляющими обработку персональных данных и (или) имеющими доступ к персональным данным, описывает основные цели, принципы обработки и требования к безопасности персональных данных в организации.

1.6. Настоящая Политика разработана с целью защиты прав и свобод человека и гражданина при обработке его персональных данных.

1.7. Персональные данные обрабатываются в целях выполнения услуг организации перед клиентом, информирование клиента о новых товарах, специальных предложениях и рекламных акциях, системах скидок и бонусов, участие в дисконтной программе, оформление карты, а также ведение кадрового и бухгалтерского учета работников (уволенных работников) и иных физических лиц, вступивших в договорные отношения; ведения личных дел сотрудников; заключение договорных отношений и выполнения договорных обязательств; осуществления видов деятельности, предусмотренных учредительными документами.

Организация собирает и обрабатывает персональные данные только в объеме, необходимом для достижения целей, указанных в настоящем пункте.

1.8. Обеспечение безопасности и конфиденциальности персональных данных является одним из приоритетных направлений в деятельности организации.



II. Принципы и цели обработки. Состав персональных данных

2.1. Обработка персональных данных организацией осуществляется на основе принципов:

а) обработка персональных данных клиентов, работников (уволенных работников) осуществляется исключительно для обеспечения соблюдения федеральных законов и иных нормативных правовых актов, соответствия целям, заранее определенным и заявленным при сборе персональных данных;

б) объем и содержание обрабатываемых персональных данных субъектов, способы обработки персональных данных соответствуют требованиям федерального законодательства, а также другим нормативным актам и целям обработки персональных данных. Не допускается обработка персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

в) персональные данные организация получает у самого клиента, работника (уволенного работника), в том числе дистанционно, посредством сети Интернет, с использованием электронной почты, а также иными способами в соответствии с законодательством РФ;

г) при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях актуальность по отношению к целям обработки персональных данных.

2.2. Организацией принимаются необходимые меры по уничтожению (удалению) либо уточнению неполных или неточных данных.

2.3. Обработка персональных данных клиентов, работников (уволенных работников) проводится организацией в целях, указанных в пункте 1.7 настоящей Политики.

2.4. Организацией обрабатываются следующие категории персональных данных: фамилия, имя, отчество; дата рождения; место рождения; адрес регистрации, адрес места жительства; паспортные данные; дата выдачи документа, удостоверяющего личность и информация о выдавшем его органе; контактный номер телефона, адрес электронной почты; подпись субъекта персональных данных.

В отношении работников (уволенных работников) также обрабатываются категории персональных данных: семейное положение; социальное положение; имущественное положение; образование; профессия; доходы; временная нетрудоспособность; выход на пенсию; данные о социальных льготах; данные полиса ОМС; должность; дополнительные страховые взносы на накопительную часть пенсии; доходы; идентификационный номер налогоплательщика; льготные выплаты; налоговые вычеты; номер страхового свидетельства государственного пенсионного страхования; страховые взносы на ОМС; информация, необходимая для выполнения обязательств организации в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях, законодательством об обязательных видах страхования, со страховым законодательством



III. Условия обработки

3.1. Порядок работы с персональными данными клиентов, работников (уволенных работников) регламентирован действующим законодательством Российской Федерации, внутренними документами организации и осуществляется с соблюдением строго определенных правил и условий.

3.2. Обработка персональных данных осуществляется путем сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, передачи (предоставления, доступа), блокирования, обезличивания, уничтожения персональных данных исключительно для обеспечения соблюдения федерального законодательства и иных нормативных правовых актов, соответствия целям, заранее определенным и заявленным при сборе персональных данных, учета результатов выполнения договорных и иных гражданско-правовых обязательств с субъектом персональных данных. При этом используется смешанный (автоматизированный и неавтоматизированный) способ обработки персональных данных.

3.3 Обработка персональных данных ведется с согласия клиента на обработку своих персональных данных.

3.4. Обработка персональных данных и иных данных ведется методом смешанной обработки.

3.5. К обработке персональных данных могут иметь доступ только сотрудники организации, допущенные к работе с персональными данными и подписавшие Соглашение о неразглашении персональных данных.

3.6. Перечень сотрудников организации, имеющих доступ к персональным данным, определяется приказом руководителя.

3.7. Персональные данные в электронном виде хранятся в локальной компьютерной сети, в электронных папках и файлах в персональных компьютерах руководителя и сотрудников, допущенных к обработке персональных данных.

3.8. Согласие на обработку персональных данных работника (уволенного работника) подтверждается заключением трудового или гражданско-правового договора, или иным способом, предусмотренным действующим законодательством. Организация вправе обрабатывать персональные данные уволенных работников без их согласия в случаях и в сроки, предусмотренные федеральным законодательством в рамках бухгалтерского и налогового учета. В т.ч. обеспечить сохранность документов, необходимых для начисления, удержания и перечисления налога в течение 4 лет; документов, связанных с организацией и ведением бухгалтерского учета (средства, обеспечивающие воспроизведение электронных документов, а также проверку подлинности электронной подписи) не менее пяти лет после года, в котором они использовались для составления бухгалтерской (финансовой) отчетности в последний раз.

Передача персональных данных третьим лицам осуществляется только в соответствии с действующим законодательством, в том числе с использованием защищенных телекоммуникационных каналов связи.

3.9. Сроки хранения документов, содержащих персональные данные субъектов, определяются в соответствии со сроком действия договора с субъектом персональных данных, Федеральным законом «Об архивном деле в Российской Федерации» № 125-ФЗ от 22.10.2004 г., сроком исковой давности, а также иными требованиями законодательства РФ. По истечении сроков хранения таких документов они подлежат уничтожению.

3.10. С целью защиты персональных данных при их обработке в информационных системах персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий с ними организацией применяются организационные и технические меры.

3.11. Персональные данные на носителях информации хранятся в служебных помещениях в условиях, исключающих ознакомление лиц, не допущенных к работе с персональными.



IV. Основные мероприятия по обеспечению безопасности обработки персональных данных

4.1. Организация обязана при обработке персональных данных клиентов, работников (уволенных работников) принимать необходимые организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

4.2. Для эффективной защиты персональных данных клиентов, работников (уволенных работников) соблюдается:

порядок получения, учета и хранения персональных данных;

применение технических средств охраны;

заключение со всеми сотрудниками, связанными с получением, обработкой и защитой персональных данных, Соглашение о неразглашении персональных данных;

привлечение к дисциплинарной ответственности сотрудников, виновных в нарушении норм, регулирующих получение, обработку и защиту персональных данных.

4.3. Допуск к персональным данным сотрудников, не имеющих надлежащим образом оформленного доступа, запрещается.

4.4. Документы, содержащие персональные данные, хранятся в здании организации, обеспечивающих защиту от несанкционированного доступа.

4.5. Технические меры защиты персональных данных с использованием средств автоматизации включают в себя антивирусную защиту, разграничение прав доступа (пароли), наличие запираемых сейфов, шкафов, иные средства защиты информации от несанкционированного доступа.

4.6. Копировать и делать выписки персональных данных клиентов разрешается исключительно в служебных целях.



V. Порядок предоставления информации, содержащей персональные данные

5.1. При обращении субъекта персональных данных (владельца этих данных или его законного представителя) или получении запроса организация безвозмездно предоставляет в срок до 30 дней с даты получения запроса или обращения персональные данные, относящиеся к субъекту персональных данных, в доступной форме, исключающей предоставление персональных данных, относящихся к другим субъектам персональных данных.

5.2. Сторонние организации и отдельные лица имеют право доступа к персональным данным субъектов персональных данных только, если они наделены необходимыми полномочиями в соответствии с законодательством Российской Федерации, либо на основании договоров с организацией, заключенных в связи с требованиями законодательства Российской Федерации.

5.3. Организация вправе предоставлять или передавать персональные данные клиентов и иные данные клиентов без согласия третьим лицам в следующих случаях:

если раскрытие этой информации требуется для соблюдения закона, выполнения судебного акта;

государственным органам, в том числе органам дознания и следствия, и органам местного самоуправления по их мотивированному запросу;

в иных случаях, прямо предусмотренных действующим законодательством РФ;



VI. Обязанности организации при обработке персональных данных



6.1. Организация обязана:

6.1.1. Осуществлять обработку персональных данных клиентов исключительно в целях оказания законных услуг клиентам.

6.1.2. Получать персональные данные клиента непосредственно у него самого.

6.1.3. Не получать и не обрабатывать персональные данные о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных законом.

6.1.4. Предоставлять доступ к своим персональным данным физического лица или его законному представителю при обращении либо при получении запроса, содержащего номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации. Сведения о наличии персональных данных должны быть предоставлены физическому лицу в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

6.1.5. Ограничивать право физического лица на доступ к своим персональным данным, если:

обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

предоставление персональных данных нарушает конституционные права и свободы других лиц.

6.1.6. Обеспечить хранение и защиту персональных данных клиентов, сотрудников организации от неправомерного их использования или утраты.

6.1.7. В случае выявления недостоверных персональных данных или неправомерных действий с ними, при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных организация обязана осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.

6.1.8. В случае подтверждения факта недостоверности персональных данных организация на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязана уточнить персональные данные и снять их блокирование.

6.1.9. В случае выявления неправомерных действий с персональными данными организация в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных организация обязана уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

6.1.10. Не осуществлять трансграничную передачу персональных данных клиентов, работников, уволенных работников.



VII. Права клиента, работника, уволенного работника

7.1. Клиент, работник, уволенный работник имеет право:

а) на доступ к информации о самом себе, в том числе содержащей информацию подтверждения факта обработки персональных данных, а также цель такой обработки;

б) на получение информации о способах обработки персональных данных, применяемые организацией;

в) получать сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

г) на получение информации о перечне обрабатываемых персональных данных и источнике их получения, сроки обработки персональных данных, в т.ч. сроки их хранения;

д) информацию о сведениях, какие юридические последствия для клиента, работника, уволенного работника может повлечь за собой обработка его персональных данных;

7.2. Гарантируется запрет на распространение персональных данных клиента, работника, уволенного работника без его согласия;

7.3. Клиент, работник, уволенный работник вправе требовать изменения, уточнения, уничтожения информации о самом себе.



VIII. Конфиденциальность персональных данных клиентов, работников, уволенных работников

8.1. Сведения о персональных данных клиентов, работников, уволенных работников являются конфиденциальными.

8.2. Организация обеспечивает конфиденциальность персональных данных и обязана не допускать их распространения третьим лицом без согласия клиентов, работников, уволенных работников либо наличия иного законного основания.

8.3. Лица, имеющие доступ к персональным данным обязаны соблюдать режим конфиденциальности. В связи с режимом конфиденциальности к информации персонального характера должны предусматриваться соответствующие меры безопасности для защиты данных от случайного или несанкционированного уничтожения, от случайной утраты, от несанкционированного доступа к ним, изменения или распространения.

8.4. Все меры конфиденциальности при сборе, обработке и хранении персональных данных клиентов, работников, уволенных работников распространяются на все носители информации, как на бумажные, так и на автоматизированные.

8.5. Режим конфиденциальности персональных данных снимается в случае обезличивания или включения их в общедоступные источники персональных данных, если иное не определено законом.



IX. Ответственность за нарушение требований, регулирующих получение, обработку и хранение персональных данных.



9.1. Организация несет ответственность за персональную информацию, которая находится в ее распоряжении и закрепляет персональную ответственность сотрудников за соблюдением установленного режима конфиденциальности.

9.2. Каждый сотрудник, получающий для работы документ, содержащий персональные данные, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

9.3. Любое лицо может обратиться в организацию с жалобой на нарушение данного Положения. Жалобы и заявления по поводу соблюдения требований обработки данных рассматриваются в трехдневный срок со дня поступления, установленный законодательством Российской Федерации.

9.4. Сотрудники организации обязаны на должном уровне обеспечивать рассмотрение запросов, заявлений и жалоб, а также содействовать исполнению требований компетентных органов.

9.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

9.6. Перечень лиц, ответственных за реализацию мер, по сохранности персональных данных, исключающих несанкционированный к ним доступ определяется приказом руководителя.

9.7. Клиент, работник, уволенный работник несет ответственность за передачу заведомо недостоверных персональных данных, или персональных данных, которые клиент, работник, уволенный работник не имеет права передавать, в соответствии с действующим законодательством Российской Федерации.



X. Заключительные положения

10.1. Настоящая Политика вступает в силу с момента ее утверждения руководителем ООО «ГЛЯНЦМАСТЕР» и действует бессрочно, до замены новой Политикой.

10.2. Настоящая Политика подлежит корректировке в случае изменения законодательства Российской Федерации, регулирующих органов в области защиты персональных данных, внутренних документов в области защиты конфиденциальной информации. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения руководителем.

10.3. В случае изменения законодательства Российской Федерации в области защиты персональных данных, нормы Политики, противоречащие законодательству, не применяются до приведения их в соответствие.

10.4. Действующая редакция Политики хранится по юридическому адресу: 620142 г. Екатеринбург, ул. Щорса, стр. 7, офис 334.

СКАН ОРИГИНАЛА ДОКУМЕНТА