Общие положения
- Настоящий документ определяет политику ИП Козлов Александр Алексеевич (далее - Оператор) в отношении обработки персональных данных и реализации требований к защите персональных данных (далее - Политика) в соответствии с требованиями ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
- Нормативной базой, регламентирующей положения настоящей Политики, являются статья 24 Конституции Российской Федерации, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», глава 14 Трудового кодекса Российской Федерации, постановление Правительства Российской Федерации от 15.09.2008 № 687, положения иных нормативно-правовых актов Российской Федерации в области обработки персональных данных, Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
- К настоящей Политике должен иметь доступ любой субъект ПДн.
- В настоящей Политике используются следующие основные понятия:
- Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
- Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Цели обработки персональных данных
Оператор осуществляет обработку персональных данных в следующих целях:
- обеспечение соблюдения требований трудового законодательства, содействие работникам в трудоустройстве, получении образования;
- обеспечение личной безопасности работников, контроль количества и качества выполняемой работы и обеспечение сохранности имущества;
- осуществление функций и обязанностей, возложенных действующим законодательством на Оператора, в том числе по предоставлению персональных данных в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд
- обязательного медицинского страхования, иные государственные органы;
- реализации продукции компании через интернет-магазин;
- информирования клиентов о текущих акциях, распродажах, специальных предложениях;
- информирования клиентов о текущем состоянии заказов.
Принципы обработки персональных данных
- Обработка персональных данных осуществляется на законной и справедливой основе.
- Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
- Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой
- Обработке подлежат только персональные данные, которые отвечают целям их обработки.
- Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки.
- При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Принимаются необходимые меры по удалению или уточнению неполных, или неточных данных.
- Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
- Обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, подлежат уничтожению либо обезличиванию.
- Согласие субъекта персональных данных на обработку персональных данных может быть выражено в форме принятия договора-оферты, отметки соответствующего поля в заявке на покупку на официальном сайте Оператора в информационно-телекоммуникационной сети «Интернет» (только в объеме фамилии, имени, отчества, контактного номера телефона, адреса электронной почты, адрес доставки).
Правовые основания обработки персональных данных
Обработка персональных данных Оператором осуществляется в соответствии с:
- главами 27-28 Гражданского кодекса Российской Федерации;
- главой 14 Трудового Кодекса Российской Федерации;
- Федеральным законом от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- главой 2 Федерального закона от 24.07.2009 № 212-ФЗ "О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования";
- Федеральный закон от 15.12.2001 № 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации";
- Федеральный закон от 16.07.1999 № 165-ФЗ "Об основах обязательного социального страхования";
- "Налоговый кодекс Российской Федерации (часть вторая)" от 05.08.2000 № 117-ФЗ;
- иными законами, нормативно-правыми актами, обязывающие ИП Козлов А.А. передавать персональные данные работников по запросам уполномоченных государственных органов (например, правоохранительных органов, инспекции по труду и т.п.);
- согласием на обработку персональных данных;
- Положением об обработке персональных данных Оператора;
- Уставом Оператора;
- трудовым договор, заключенный с работником;
- заключенный договор между ИП Козлов А.А. и юридическим лицом, индивидуальным предпринимателем, физическим лицом.
Перечень субъектов, персональные данные которых обрабатываются Оператором
- Контрагентов, состоящие в договорных и иных гражданско-правовых отношениях с ИП Козлов А.А..
- Клиентов (покупателей) Компании, которым ИП Козлов А.А. реализует товары или оказывает услуги;
- Работников ИП Козлов А.А., уволенных работников ИП Козлов А.А., кандидатов и соискателей на вакантные должности ИП Козлов А.А.;
- Близких родственников Работников ИП Козлов А.А.;
- Посетителей Компании, не являющихся клиентами или контрагентами Компании – физических лиц, осуществляющих проход на территорию офисных помещений Компании в порядке, предусмотренном правилами пропускного режима.
Обработка персональных данных
- Оператором используется смешанный (с использованием средств автоматизации и без использования средств автоматизации) способ обработки персональных данных с передачей информации по локальной вычислительной сети Оператора и с передачей информации через информационно-телекоммуникационную сеть «Интернет».
- Оператор не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов, третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.
- Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление), блокирование, удаление, уничтожение персональных данных.
- Обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством Российской Федерации.
- Согласие субъекта персональных данных на обработку персональных данных может быть выражено в форме принятия договора-оферты, отметки соответствующего поля в заявках на официальном сайте ИП Козлов А.А. в информационно-телекоммуникационной сети «Интернет».
- Оператор не осуществляет обработку биометрических персональных данных.
- Оператор не осуществляет обработку специальных категорий персональных данных.
- Оператор не создает общедоступные источники персональных данных.
- Оператор не производит трансграничную (на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.
- Оператор вправе передавать персональные данные третьим лицам в следующих случаях:
- субъект персональных данных выразил свое согласие на такие действия в любой позволяющей подтвердить факт его получения форме;
- передача необходима для оказания услуг клиентам;
- передача предусмотрена федеральным законом в рамках установленной процедуры.
- Юридическое лицо или индивидуальный предприниматель, осуществляющие обработку персональных данных по поручению ИП Козлов А.А., обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации в области персональных данных.
Конфиденциальность персональных данных
- К любой информации, содержащей персональные данные, применяется режим конфиденциальности, за исключением обезличенных и общедоступных персональных данных.
- Работники и иные лица, получившие доступ к обрабатываемым персональным данным, подписывают обязательство о неразглашении информации ограниченного доступа, а также предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства Российской Федерации в области обработки персональных данных.
Права субъектов персональных данных
- Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных;
- правовые основания и цели обработки персональных данных;
- цели и применяемые способы обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федеральных законов;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен действующим законодательством;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных действующим законодательством;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные действующим законодательством.
- Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
- Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
- Иные права, определенные главой 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Актуализация, исправление, удаление и уничтожение персональных данных
- Сведения, указанные в части 7 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ, предоставляются ИП Козлов А.А. субъекту персональных данных или его представителю при обращении в ИП Козлов А.А. либо при получении в ИП Козлов А.А. запроса от субъекта персональных данных или его представителя.
- Запрос должен содержать данные основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения, подтверждающие участие субъекта персональных данных в отношениях с ИП Козлов А.А., либо сведения, иным образом подтверждающие факт обработки персональных данных ИП Козлов А.А., подпись субъекта персональных данных или его представителя.
- Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
- Сведения предоставляются в доступной форме, в них не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
- Если в обращении (запросе) субъекта персональных данных не отражены все необходимые в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
- Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
- В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, ИП Козлов А.А. вносит в них необходимые изменения.
- В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, ИП Козлов А.А. уничтожает такие персональные данные.
- В случае выявления неправомерной обработки персональных данных, осуществляемой ИП Козлов А.А. или лицом, действующим по поручению ИП Козлов А.А., ИП Козлов А.А. в срок, не превышающий трех рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению ИП Козлов А.А.. В случае, если обеспечить правомерность обработки персональных данных невозможно, ИП Козлов А.А. в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные или обеспечить их уничтожение.
- ИП Козлов А.А. уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
- ИП Козлов А.А. обязано сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней со дня получения такого запроса.
- Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
- В случае отзыва субъектом персональных данных согласия на обработку его персональных данных ИП Козлов А.А. прекращает их обработку и, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между ИП Козлов А.А. и субъектом персональных данных либо если ИП Козлов А.А. не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ или другими федеральными законами.
- В случае отсутствия возможности уничтожения персональных данных в течение вышеуказанного срока ИП Козлов А.А. осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
- В случае отзыва субъектом персональных данных согласия на обработку персональных данных ИП Козлов А.А. вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в части 2 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ.
Меры, принимаемые Оператором для обеспечения выполнения обязанностей, предусмотренных
законодательством Российской Федерации в области персональных данных
Меры, необходимые и достаточные для обеспечения выполнения Оператором обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных, включают:
- назначение ответственного за организацию обработки персональных данных;
- издание документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки и обеспечения безопасности персональных данных;
- ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями действующего законодательства о персональных данных, требованиями к защите персональных данных, настоящей Политикой, локальными актами Оператора по вопросам обработки и защиты персональных данных;
- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
- оценку вреда, который может быть причинен субъектам персональных данных;
- осуществление внутреннего контроля соответствия процесса обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных», принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным актам Оператора;
- опубликование документа, определяющего политику в отношении обработки персональных данных и сведениях о реализуемых требованиях к защите персональных данных, в информационно-телекоммуникационной сети;
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
- осуществление оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных и не реже одного раза в 3 года после ввода в эксплуатацию;
- учет и обеспечение сохранности материальных носителей персональных данных (хранение материальных носителей, содержащих персональные данные, в закрытых шкафах, сейфах);
- организация режима обеспечения безопасности помещений, в которых размещены информационные системы персональных данных, а также хранятся материальные носители персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- обнаружение и принятие мер по фактам несанкционированного доступа к персональным данным;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
- утверждение приказом генерального директора Оператора перечня лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных обязанностей;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
- реализация и контроль организационных и технических мер в соответствии с постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».