Политика обработки персональных данных. Образец. Важные правила составления политики в отношении обработки и защиты персональных данных

С 1.07.2017 г. вступили в действие изменения в КоАП и ФЗ № 152. В соответствии с ними, всем организациям, учреждениям, предприятиям необходимо разработать и утвердить особый документ - Политику в отношении обработки персональных данных .

Актуальность вопроса

Новые требования законодательства направлены на защиту граждан от несанкционированного доступа и незаконного использования их личных сведений. Особое внимание законодатель уделил социально значимым объектам: ДОУ, школам.

Позволяет обеспечить реализацию принципов законности, конфиденциальности и безопасности информации.

Законодательством предусмотрены периодические проверки субъектов на предмет соответствия фактического уровня защиты установленным требованиям. Мониторинг осуществляют территориальные подразделения Роскомнадзора.

Политика в отношении обработки персональных данных - это документ, состоящий из нескольких разделов. В них приводятся сведения о субъекте, осуществляющем сбор и обработку данных, и о третьих лицах, участвующих в этом процессе, меры по защите информации, ссылки на нормативные документы, права носителей персональных сведений. Далее будет описан типовой образец Политики в отношении обработки персональных данных.

Титульная страница

Справа вверху должен присутствовать гриф утверждения. В нем присутствуют: наименование должности, Ф. И. О. руководителя и его подпись, а также печать организации.

По центру, с небольшим отступом от грифа указывается наименование документа. Например, оно может быть таким:

"Политика ООО "__" в отношении обработки персональных данных и сведениях о реализуемых мерах по их защите".

Как правило, с титульного листа начинается текст документа.

В Общих положениях Политики в отношении обработки персональных данных приводится информация о самом документе. Ключевые его задачи состоят в:

  1. Раскрытии основных категорий персональных сведений, целей, способов, принципов их обработки, обязанностей и прав предприятия в процессе использования данных.
  2. Обеспечении защиты конфиденциальности персональной информации.

Образец Политики в отношении обработки персональных данных содержит также указание на общедоступность документа.

Сведения об организации

В качестве субъекта, осуществляющего сбор и обработку личных сведений, может выступать любое предприятие, организация, в том числе оказывающая услуги оператора. Политика в отношении обработки персональных данных содержит информацию о:

  1. Наименовании субъекта. Оно приводится в полной и сокращенной форме.
  2. Фактическом адресе.
  3. Телефоне, факсе.

В Политику оператора в отношении обработки персональных данных включаются также сведения о номере, дате и основании их внесения в единый реестр.

Нормативные основания

В этом разделе Политики организации в отношении обработки персональных данных приводятся указания на правовые документы, которыми руководствуется компания при работе с личными сведениями. К основным нормативным актам относят:

  • Конституцию РФ.
  • ТК РФ.
  • ГК РФ.
  • ФЗ № 160.
  • ФЗ № 152.
  • ФЗ № 210.
  • ФЗ № 326.
  • ФЗ № 149.

В целях реализации Политики в отношении обработки персональных данных компания принимает ряд локальных актов. В их числе Перечни:

  • Личных сведений, подвергающихся обработке.
  • Информационных систем, используемых при работе с информацией.
  • Сотрудников, имеющих допуск к персональным данным.

Кроме того, утверждаются:

  • Правила обработки информации.
  • Акты классификации информсистем.
  • Модели возможных угроз безопасности личных данных в ходе их обработки.

Цели работы с информацией

В должен присутствовать закрытый перечень задач, реализуемых организацией. Обработка сведений должна осуществляться для:

  1. Обеспечения реализации госполитики по соцподдержке и социальному обслуживанию граждан, в том числе относящихся к категории особо нуждающихся. В их числе: малоимущие, пенсионеры, инвалиды любой группы, многодетные семьи, несовершеннолетние и пр.
  2. Оформления трудовых договоров, гражданско-правовых соглашений, контрактов с контрагентами и исполнения их условий.
  3. Организации пропускного режима.

Категории сведений

Политика в отношении обработки персональных данных предусматривает работы с личными сведениями:

  • сотрудников;
  • получателей услуг, их родственников, представителей.

Источниками этой информации являются сами ее носители.

Принципы работы со сведениями

Согласно Политике в отношении обработки персональных данных , субъект, работающий с информацией, обязан соблюдать положения 5 статьи ФЗ № 152.

Если организация не работает с в Политике должно быть это указано. Биометрические сведения характеризуют биологические и физиологические особенности человека, по которым устанавливается его личность.

К другим основополагающим принципам работы с личной информацией следует отнести:

  1. Неиспользование специальных категорий сведений, относящихся к национальной/расовой принадлежности, религиозным, политическим взглядам, философским убеждениям, интимной жизни, состоянию здоровья.
  2. Исключение трансграничной передачи информации (в другое государство, иностранному гражданину или юрлицу).
  3. Передача сведений сторонним лицам осуществляется исключительно с согласия носителя на основании соглашения.
  4. Формирование общедоступных источников личных данных (справочников, адресных книг), сообщаемых гражданином. Информация, в соответствии с Политикой конфиденциальности в отношении обработки персональных данных , включается в них только с его согласия.

Третьи лица, задействованные в работе с личными данными

Для реализации требований законодательства, достижения целей работы с персональной информацией, в интересах и по согласию носителей сведения передаются:

  • Субъектам системы электронного межведомственного взаимодействия.
  • Отделениям негосударственных пенсионных фондов.

Меры безопасности

Этот раздел Политики в отношении обработки персональных данных считается одним из самых значимых.

Субъект, работающий с личной информацией граждан, обязан предпринять все юридические, технические и организационные меры по предотвращению случайного или противоправного доступа, изменения, уничтожения, копирования, блокирования, распространения и совершения иных противозаконных действий с ней.

В организации должны быть назначены служащие, ответственные за организацию работы с информацией.

В обязательном порядке предусматривается внутренний контроль/аудит соответствия обработки сведений требованиям ФЗ № 152, а также нормативным документам, принятым на его основании, в том числе локальным актам. Все сотрудники, работающие с личной информацией граждан, должны быть ознакомлены с их положениями.

До ввода в эксплуатацию информсистемы должна быть проведена оценка эффективности мер, предпринимаемых для обеспечения защиты сведений.

Факты несанкционированного доступа к персональным данным должны выявляться оперативно. При их обнаружении организация обязана принимать меры по восстановлению измененных либо уничтоженных сведений.

Доступ к персональным данным должен осуществляться по установленным в законодательстве и других, в том числе В организации должны обеспечиваться регистрация и учет действий, совершаемых с личной информацией граждан. Обязательным требованием законодательства является установление контроля за мерами, предпринимаемыми для защиты данных и информсистем.

В должностных регламентах определяются обязанности сотрудников, работающих с личной информацией.

Права носителей персональных данных

Граждане вправе получать сведения о процессе обработки их личной информации. Носитель данных может потребовать их уточнения, уничтожения либо блокирования, если они:

  • устарели;
  • являются неполными/неточными;
  • получены противоправным способом;
  • не являются необходимыми для заявленных целей обработки.

Носитель информации вправе принимать меры для защиты своих интересов в рамках действующего законодательства.

Ограничение прав

Оно допускается исключительно в случаях, предусмотренных законом. Права граждан на доступ к их персональным данным ограничивается, если:

  • Обработка информации, включая ту, что получена при оперативно-розыскной, разведывательной или контрразведывательной деятельности, осуществляется для обеспечения безопасности, обороноспособности государства и охраны порядка.
  • С личными сведениями работают органы, производившие задержание лиц, подозреваемых/обвиняемых в преступлениях, применившие к субъектам меры пресечения. Исключение составляют случаи, закрепленные УПК.
  • Обработка данных направлена на противодействие отмывания (легализации) доходов, полученных незаконным путем, а также на пресечение финансирования терроризма.
  • Работа с информацией осуществляется для обеспечения безопасного функционирования транспортной инфраструктуры, защиты прав и интересов личности, государства и общества в транспортной сфере.

Важные моменты

В Политике об обработке персональной информации должны закрепляться меры, которые может предпринимать гражданин для защиты своих прав. В частности, субъект может обратиться непосредственно к лицам, работающим с его личными данными.

Организация должна рассматривать любые жалобы и обращения, тщательно изучать их. При необходимости проводится внутреннее расследование нарушений. Организация обязана предпринять все меры для незамедлительного устранения выявленных нарушений, наказания виновных и урегулирования конфликтов в досудебном порядке.

Носитель персональных сведений может оспорить действия/бездействия организации, ее сотрудников посредством обращения в орган, уполномоченный на реализацию функций по защите прав субъектов персональной информации. Он также может потребовать компенсации морального либо материального вреда в судебном порядке.

Контактные сведения

В Политике должна присутствовать информация о лицах, ответственных за организацию работы с персональными сведениями. Им может являться руководитель отдела по приему граждан, организационно-технической работы и социального сопровождения. Должны указываться его Ф. И. О., должность, номер телефона. По усмотрению руководства организации в контактных данных может присутствовать адрес эл. почты.

Кроме того, в этом разделе Политики должны указываться сведения о контролирующем органе:

  1. Почтовый адрес.
  2. Наименование.
  3. Официальный сайт.
  4. Адрес эл. почты.
  5. Номера телефонов.

Заключительные положения

В этом разделе приводится информация о разработчиках Политики и лице, контролирующем ее исполнение в организации. В качестве первых выступает, как правило, компании. Контроль исполнения положений возлагается на руководителя организации или его заместителя. Ф. И. О. и должность ответственного лица должна обязательно указываться в документе.

Приказ об утверждении

Разработанный проект Политики передается руководителю для согласования. Утверждение документа осуществляется по приказу директора. Этот акт составляется по типовому образцу, принятому в соответствии с номенклатурой дел, на основании Инструкции по делопроизводству.

В Приказе присутствуют следующие сведения:

  1. Наименование организации.
  2. Название документа.
  3. Дата составления, номер.
  4. Преамбула.
  5. Текст.
  6. Дата вступления в силу.
  7. Ф. И. О. руководителя предприятия, подпись.
  8. Подписи лиц, ознакомленных с приказом.

Преамбула, как правило, обычно выглядит следующим образом:

"В соответствии с п. 2 ст. 18.1 ФЗ № 152 "О персональных данных", Постановлением правительства № 211 от 21.03.2012 г., принятыми на их основании нормативными актами, приказываю…"

"Утвердить Политику "___" в отношении обработки персональных данных".

Операторы должны размещать утвержденный документ на официальном сайте региона в разделе "Реестр поставщиков соц. услуг". В этой связи в приказе указывается следующее:

"Начальнику отдела по работе с гражданами (Ф. И. О.) в течение 10 дней с даты утверждения опубликовать Политику на официальном сайте (наименование региона) в разделе "Реестр поставщиков социальных услуг".

Дополнительно

Если в организации ранее была утверждена Политика, ее следует пересмотреть и при необходимости внести изменения. Откорректированный документ следует утвердить заново. При этом приказ, на основании которого была принята действовавшая до изменений Политика, нужно отменить. Для этого издается распоряжение. В нем можно одновременно отменить ранее действовавший приказ и утвердить откорректированную политику.

Заключение

В последнее время вопросу обеспечения защиты персональных сведений уделяется повышенное внимание. Это связано со стремительным развитием компьютерных технологий, появлением новых возможностей для недобросовестных пользователей. Каждая организация, работающая с персональными данными, должна гарантировать их носителям безопасность.

Положения Политики должны быть доведены до сведения всех работников. Требования, предусмотренные документом, являются обязательными для исполнения всеми подразделениями компаний, учреждений, предприятий и других лиц, участвующими в работе с личной информацией граждан. Нарушение предписаний влечет ответственность в соответствии с нормами действующего законодательства.

Михаил Хохолков, ИНТЕЛЛЕКТ-С: «Минимум, что нужно сделать владельцу сайта, - разместить на сайте политику обработки персональных данных».

1 июля 2017 года вступили в силу изменения в статью 13.11 Кодекса об административных правонарушениях (КоАП РФ), регулирующую ответственность за соблюдение законодательства о персональных данных.

Ранее предусматривался один состав правонарушения - нарушение законодательства о персональных данных. Сейчас этот перечень развернут в 7 пунктов. Увеличивается и размер штрафов. Дела об административных правонарушениях в области персональных данных будут рассматривать территориальные отделения Роскомнадзора.

Сам же Закон «О персональных данных» действует уже 10 лет, кардинально не меняясь. Поэтому непонятна паника, которую раздувают некоторые СМИ. Тем не менее, для владельцев любых сайтов, собирающих данные пользователей, я выделил следующие важные моменты.

Политика обработки персональных данных на сайте

Пункт 3 статьи 13.11 КоАП РФ: невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных - влечет предупреждение или наложение административного штрафа:

  • на граждан в размере от 700 до 1 500 рублей;
  • на должностных лиц - от 3 000 до 6 000 рублей;
  • на индивидуальных предпринимателей - от 5 000 до 10 000 рублей;
  • на юридических лиц - от 15 000 до 30 000 рублей.

Минимум, что нужно сделать сейчас, - разместить на сайте политику обработки персональных данных .

Особых требований к месту размещения законодатель не устанавливает, однако рекомендую ссылку на политику установить на главной странице, а также продублировать ее в местах размещения форм для сбора персональных данных. Политика обработки персональных данных должна быть доступной для любого пользователя.

Чек-лист для разработки политики обработки персональных данных (ПД) на сайте

Что нужно проверить:

  • любые формы отправки сообщений по типу «задать вопрос» и поля, обязательные для заполнения. Их нужно будет указать в политике обработки ПД в разделе «Объём ПД»;
  • регистрация пользователя / личный кабинет / авторизация через соцсети. Проверить поля, обязательные для заполнения. Указать их в политике обработки ПД в разделе «Объём ПД»;
  • форма заказа обратного звонка - какие поля в ней обязательны для заполнения. Эти данные нужно будет указывать в политике обработки ПД в разделах «Объем ПД» и «Цели ПД»;
  • рассылка. Если есть форма подписки на рассылку, то необходимо размещать согласие на обработку ПД и согласие на получение рассылки (всё можно делать в одном документе). На рассылку нужно также сослаться в разделе «Цели ПД»;
  • отзывы посетителей / клиентов / партнёров с ПД (благодарственные письма и т.д). Если пользователь пишет отзыв сам, то нужно размещать согласие на обработку ПД. Если выкладываются сканы благодарственных писем, то нужно предварительно обсудить с партнёром возможность получения такого согласия;
  • возможность отправки резюме. В этом случае необходимо согласие на обработку ПД в целях трудоустройства.

База данных сайта с персональными данными пользователей должна находится на территории России.

Если политика обработки ПД (документ может называться «политика конфиденциальности» или аналогично) уже есть на сайте, проверьте по чек-листу цели сбора и объёмы ПД. Лишней информации там быть не должно быть. Принцип «лучше укажем больше данных, вдруг пригодится» неприемлем. Важно помнить, что объём собираемых данных должен соответствовать цели обработки. Универсальных критериев такого соответствия не существует, поэтому нужно руководствоваться принципами разумности и достаточности.

  • для заказа авиабилетов нужны паспортные данные, для доставки пиццы - нет;
  • для доставки заказа курьером интернет-магазина нужен адрес доставки, для самовывоза - нет;
  • для бронирования билета в кино - вообще ничего не нужно, если не оплачивается онлайн.

Если на сайте нет никаких форм обратной связи, нет возможности заказать обратный звонок и т.п. - персональные данные не обрабатываются, следовательно, политику обработки ПД размещать не нужно.

Цель и объем сбора персональных данных

Излишний объем данных, собираемых у пользователя, может быть самостоятельным нарушением. Пункт 1 статьи 13.11 КоАП: обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, - влечет предупреждение или наложение административного штрафа:

  • на граждан в размере от 1 000 до 3 000 рублей;
  • на должностных лиц - от 5 000 до 10 000 рублей;
  • на юридических лиц - от 30 000 до 50 000 рублей.

Таким образом, собираемые персональные данные должны соответствовать цели их обработки и не быть излишними.

Поэтому в политике обработки персональных данных должна быть указана цель обработки и объем.

Пример

Самый частый случай сбора данных на сайте - заказ обратного звонка.

В этом случае достаточно просить указать пользователя лишь номер телефона. Если же для обратного звонка вы просите указать электронную почту, ФИО, адрес, место работы, должность, то такие данные считаются излишними, не соответствующими целям обработки, и, следовательно, их сбор является нарушением.

Без крайней необходимости не осуществляйте сбор паспортных данных. Чаще всего они не нужны. Для выполнения заказа, например, в интернет-магазине, достаточно указать телефон и адрес доставки.

Определившись с целями и объемом обработки персональных, составьте свою политику обработки, разместите на сайт.

Кстати говоря. Я направлял такой запрос в Роскомнадзор:

Необходимо ли размещение политики обработки персональных данных на сайте доставки товаров, если для оформления заказа пользователь указывает только номер телефона? Оператор сайта звонит покупателю по указанному номеру, уточняет детали заказа и адрес доставки. В дальнейшем (после доставки заказа) номер телефона, имя и фамилия покупателя, адрес доставки не сохраняется и не обрабатывается владельцем сайта.

И вот какой ответ получил:

По информации, содержащейся в обращении, дать правовую оценку по существу поставленного вопроса не представляется возможным.

По сути, это означает, что не любой случай сбора персональных данных влечет за собой необходимость размещения политики обработки этих данных, что не отменяет необходимости изучения этого вопроса для каждого сайта индивидуально.

Согласие на обработку персональных данных

Когда необходима письменная форма согласия на обработку ПД

Письменная форма - это документ в печатном виде с оригинальной (не сканированной, не факсимильной) подписью субъекта. Письменная форма не будет соблюдена, если она получена по электронной почте в виде отсканированного документа. Согласие в форме электронного документа может быть подписано электронной подписью в соответствии с ФЗ «Об электронной подписи». Требования к содержанию письменной формы установлены пунктом 4 статьи 9 ФЗ «О персональных данных».

Письменная форма согласия на обработку персональных данных необходима только в случаях, прямо предусмотренных законом. Всего таких случаев пять, и они описаны в статьях 8, 10, 11, 12 и 16 ФЗ «О персональных данных»:

  • Статья 8 касается случаев создания общедоступных источников информации (справочников, адресных книг и т.п.). В эти справочники вы можете включать сведения о лицах, предварительно получив от них письменное согласие на обработку персональных данных.
  • Статья 10 - специальные категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
  • Статья 11 говорит об обработке биометрических персональных данных: фото- и видеоизображения, отпечатков пальцев, ДНК. Фото и видео признаются обработкой персональных данных в том случае, если они используются для установления личности. Съёмка с обычной камеры наблюдения в офисе, в супермаркете или на улице обработкой персональных данных не является.
  • Статья 12 касается трансграничной передачи персональных данных.
  • Статья 16 запрещает принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы - только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами.

Есть случаи, когда персональные данные могут быть обработаны без согласия субъекта - это пункты 2-11 части 1 статьи 6, часть 2 статьи 10 ФЗ «О персональных данных».

Во всех иных случаях (т.е. когда нет требования получать согласие в письменной форме или когда согласие не требуется) согласие может быть получено в любой форме, позволяющей подтвердить получение такого согласия. Подтверждать наличие такого согласия должен оператор обработки персональных данных.

Гиперссылку на согласие на обработку персональных данных рекомендуем устанавливать рядом с кнопками «отправить», «далее», « подписаться на рассылку» и подобными, сопровождая текстом:«Нажимая на кнопку ОТПРАВИТЬ, я подтверждаю, что ознакомился с политикой обработки персональных данных и даю согласие на обработку персональных данных » , где текст, выделенный курсивом, - это гиперссылки на соответствующие документы.

Уведомление в Роскомнадзор

В определенных случаях необходимо подать уведомление в Роскомнадзор по месту регистрации (юр. лица, предпринимателя или гражданина - администратора сайта) для включения в реестр обработки персональных данных. Если такое уведомление не предоставить, то возможно привлечение к ответственности по статье 19.7 КоАП - предупреждение или наложение административного штрафа

  • на граждан в размере от 100 до 300 рублей;
  • на должностных лиц - от 300 до 500 рублей;
  • на юридических лиц - от 3 000 до 5 000 рублей.

В пункте 2 ст. 22 ФЗ «О персональных данных» перечислены случаи, когда уведомление в Роскомнадзор подавать не требуется. Всего таких случаев девять. Самый распространенный - персональные данные получены в связи с заключением договора, если при том персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных. Эти данные должны использоваться исключительно для исполнения указанного договора и заключения договора с субъектом персональных данных.

Заключение

Если на сайте не размещена политика обработки персональных данных, то его владелец не выполняет требования Закона «О персональных данных».

Дополнительные требования могут быть предъявлены к интернет-магазинам, сервисам по подбору персонала, сервисам бронирования билетов, приема платежей, сетевых изданий (СМИ) и т.п. Про использование персональных данных в СМИ я напишу отдельно.

Поэтому прошу внимательно отнестись к подготовке документов, не используя «типовых форм политики обработки персональных данных», поскольку их не существует. За помощью обращайтесь к юристам, специализирующимся в этой отрасли.

Постскриптум

А вы знали, что дополнительные требования к информации, размещаемой на любых сайтах установлены и Федеральным законом «Об информации»?

Пункт 2 статьи 10 Федерального закона от 27.07.2006 №149-ФЗ (ред. от 06.07.2016) «Об информации, информационных технологиях и о защите информации»:

Информация, распространяемая без использования средств массовой информации, должна включать в себя достоверные сведения о ее обладателе или об ином лице, распространяющем информацию, в форме и в объеме, которые достаточны для идентификации такого лица.

Владелец сайта в сети «Интернет» обязан разместить на принадлежащем ему сайте информацию о своих наименовании, месте нахождения и адресе, адресе электронной почты для направления заявления, указанного в статье 15.7 настоящего Федерального закона (досудебные меры по прекращению нарушения авторских прав), а также вправе предусмотреть возможность направления этого заявления посредством заполнения электронной формы на сайте в сети «Интернет».

Михаил Хохолков о персональных данных

28 июля Михаил Хохолков, ведущий юрист ИНТЕЛЛЕКТ-С, в студии телеканала Malina.Am рассказал о поправках в закон о персональных данных.

1.1. Настоящий документ определяет Политику ЗАО «Производственная компания «Ярославич» в отношении обработки персональных данных (далее — Политика) в соответствии с положениями Конституции РФ; Трудовым кодексом РФ от 30.12.2001 № 197-ФЗ (ст. 85-90); Гражданским кодексом РФ, Налоговым кодексом РФ, Федеральным законом от 27.07.2006 152-ФЗ «О персональных данных»; Федеральным законом от 24.07.2009 № 212-ФЗ ред. от 02.04.2014) «О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхованию», Федеральным законом от 01.04.1996 № 27-ФЗ (ред. от 12.03.2014) «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральным законом от 02.05.2006 №259-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 06.04.2011 №63-ФЗ «Об электронной подписи», Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных»и иных нормативно-правовых актов, регулирующих вопросы защиты персональных данных.

1.2. Персональные данные являются конфиденциальной, охраняемой информацией и на них распространяются все требования, установленные внутренними документами Организации к защите конфиденциальной информации.

1.3. Политика определяет основные вопросы, связанные с обработкой персональных данных в ЗАО «ПК «Ярославич» (далее — Организация) с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств.

2. Понятие и состав персональных данных

2.1. Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

2.2. Организация обрабатывает персональные данные, в том числе с применением автоматизированных систем, следующих категорий субъектов персональных данных:

  • персональные данные работников Организации — информация, необходимая Организации в связи с трудовыми отношениями;
  • персональные данные клиента (потенциального клиента), партнера, контрагента (потенциального контрагента), а также персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося клиентом или контрагентом (потенциальным клиентом, партнером, контрагентом) Организации — информация, необходимая Организации для выполнения своих обязательств в рамках договорных отношений с клиентом (контрагентом);
  • персональные данные посетителей Организации — информация, необходимая Организации для обеспечения безопасности работников Организации при пропуске в здание Организации посетителей и предупреждения правонарушений со стороны посетителей;
  • персональные данные соискателей Организации — информация, необходимая Организации для рассмотрения его кандидатуры в качестве претендента на вакантную должность.

3. Цели и случаи обработки персональных данных

3.1 Обработка персональных данных проводится в целях:

  • осуществления основных видов деятельности Организации;
  • ведения кадровой работы, в том числе при формировании кадрового резерва и проведении конкурса на замещение вакантных должностей;
  • обеспечения безопасности работников Организации при установлении и соблюдении пропускного режима в Организации, предупреждения правонарушений со стороны третьих лиц.

3.2. Обработка персональных данных в Организации допускается в случаях если:

  • обработка персональных данных осуществляется с согласия субъекта персональных данных;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  • обработка персональных данных необходима для осуществления прав и законных интересов Организации или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • обработка персональных данных осуществляется в исследовательских, статистических или иных целях при условии обязательного обезличивания персональных данных;
  • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
  • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законом;
  • а также иных случаях, предусмотренных действующим законодательством.

4. Основные принципы обработки персональных данных

4.1. Обработка персональных данных возможна только в соответствии с целями, определившими их получение.

4.2. При обработке персональных данных Оператор будет осуществлять следующие действия: сбор, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

4.3. Право доступа для обработки персональных данных имеют сотрудники Организации в соответствии с возложенными на них функциональными обязанностями.

4.4. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.

4.5. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

4.6. Обрабатываемые персональные данные уничтожаются или обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.7. Сроки хранения персональных данных определяются в соответствии со сроком действия гражданско-правовых отношений между субъектом персональных данных и Организацией, сроками хранения документов на бумажных носителях и документов в электронных базах данных,сроком исковой давности, иными требованиями законодательства РФ, а также сроком действия согласия субъекта на обработку его персональных данных.

5. Меры по обеспечению безопасности персональных данных

5.1. При обработке персональных данных Организация принимает необходимые правовые, организационные и технические меры защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.2. Обеспечение безопасности персональных данных достигается, в частности:

  • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
  • обнаружением фактов несанкционированного доступа к персональным данным и принятием необходимых мер;
  • ознакомление сотрудников Оператора, которые непосредственно осуществляют обработку персональных данных с положениями законодательства Российской Федерации о персональных данных, документами, определяющими политику персональных данных, локальными актами.
  • контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационной системы персональных данных.

6. Права субъекта персональных данных

Субъект персональных данных имеет право:

6.1. На получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  • цели и применяемые Организацией способы обработки персональных данных;
  • подтверждение факта обработки персональных данных оператором;
  • правовые основания и цели обработки персональных данных;
  • наименование и место нахождения Организации, сведения о лицах (за исключением работников Организации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Организацией или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ «О персональных данных»;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Организации, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами.

6.2. Требовать от Организации уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.3. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством РФ.

6.4. Обжаловать в суд любые неправомерные действия или бездействие Организации при обработке и защите его персональных данных.

7. Обязанности организации

Организация обязуется:

7.1. Принимать необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

7.2. В целях обеспечения защиты персональных данных проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения безопасности их персональных данных, а также определять актуальные угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.

7.3. Осуществлять мероприятия по организационной и технической защите персональных данных в соответствии с требованиями законодательства РФ по вопросам обработки персональных данных.

7.4. При выявлении актуальных угроз применять необходимые и достаточные правовые, организационные и технические меры по обеспечению безопасности персональных данных, включающие в себя:

  • определение угроз безопасности информации, содержащей персональные данные, при ее обработке;
  • применение организационных и технических мер по обеспечению безопасности информации, содержащей персональные данные, при ее обработке;
  • оценку эффективности принимаемых мер до ввода в эксплуатацию информационной системы персональных данных;
  • учет машинных носителей информации, содержащей персональные данные;
  • обнаружение фактов несанкционированного доступа к информации, содержащей персональные данные, и принятие мер;
  • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установление правил доступа к информации, содержащей персональные данные, обеспечение регистрации и учета всех действий, совершаемых с информацией, содержащей персональные данные, в информационной системе персональных данных;
  • контроль за принимаемыми мерами.

8. Обязанности и ответственность сотрудников организации

8.1. Сотрудники Организации, допущенные к обработке персональных данных, обязаны:

  • знать и выполнять требования настоящей Политики;
  • обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;
  • не разглашать персональные данные, полученные в результате выполнения своих должностных обязанностей, а также ставшие им известными по роду своей деятельности;
  • пресекать действия третьих лиц, которые могут привести к разглашению (уничтожению, искажению) персональных данных;
  • выявлять факты разглашения (уничтожения, искажения) персональных данных и информировать об этом непосредственного руководителя;
  • хранить тайну о сведениях, содержащих персональные данные в соответствии с локальными актами Организации.

8.2. Сотрудникам Организации, допущенным к обработке персональных данных, запрещается несанкционированное и нерегламентированное копирование персональных данных на бумажные носители информации и на любые электронные носители информации, не предназначенные для хранения персональных данных.

8.3. Каждый новый работник Организации, непосредственно осуществляющий обработку персональных данных, подлежит ознакомлению с требованиями законодательства РФ по обработке и обеспечению безопасности персональных данных, с настоящей Политикой и другими локальными актами по вопросам обработки и обеспечения безопасности персональных данных и обязуется их соблюдать.

8.4. Лица, виновные в нарушении требований законодательства РФ в области персональных данных, несут дисциплинарную, материальную, гражданско-правовую, административную или уголовную ответственность.

9. Контроль за соблюдением законодательства РФ, локальных нормативных актов Организации в области обработки персональных данных

9.1. Внутренний контроль за обработкой и защитой персональных данных осуществляет ответственный сотрудник Организации.

9.2. Персональная ответственность за соблюдение требований законодательства и локальных нормативных актов Организации в области персональных данных, а также за обеспечение конфиденциальности возлагается на руководителей структурных подразделений.

Политика персональных данных (ППД) организации в отношении обработки и сохранения конфиденциальности сведений – это документ, в который структурно входит несколько разделов. В этих разделах прописывается информация о субъекте, проводящем обработку собранной информации , также о третьих лицах, принимающих участие в текущем процессе, процедура защиты информации, ссылки на правовую составляющую, права носителей личных сведений.

ППД дает возможность реализовать принципы законности, конфиденциальности и безопасности информации.

СПРАВКА! Существует ряд обязательных к пониманию и изучению понятий, связанных с действием политики.

К таким понятиям относят:

  1. Персональные данные – любые сведения, относящиеся прямо или косвенно к физическому лицу.
  2. Оператор – государственный, муниципальный орган, юр. или физ. лицо, организующее обработку и сбор ПД, формирующее цели и состав обрабатываемых данных, а также совершающее действия в отношении персональных сведений.
  3. Обработка персональных данных – любые манипуляции, производящиеся при помощи автоматизированных систем или без них, с личными сведениями пользователей.

Кто утверждает?

Политика в отношении обработки персональных сведений утверждается лицом, находящимся в статусе руководителя той или иной организации: директор, председатель и т.п.

Для обработки

Для защиты

  1. Контролирующие и обрабатывающие лица.
  2. Сбор.
  3. Использование.
  4. Предоставление личной информации пользователей компанией.
  5. Куки-файлы (касается веб-сайтов).
  6. Защита учетных записей.
  7. Доступ и изменение ПД пользователей.
  8. Безопасность.
  9. Третьи лица.
  10. Изменения ППД относительно защиты.
  11. Контакты.

Пошаговая инструкция по составлению для компании

Как было сказано ранее, каждой компании согласно законодательству необходимо иметь собственную политику о ПД .

Для того чтобы составить документ такого типа, следует пользоваться типовой схемой создания этого вида документа. В самом начале должна находиться титульная страница, в шапке которой присутствуют должность, ФИО и подпись руководителя, печать организации и гриф утверждения. Это обязательные составляющие политики о персональных сведениях.

Пункты документа, которые следует указать :

  1. Определение терминов. В каждом документе такого типа требуется вначале указать перечень терминов и определений, используемых в тексте.
  2. Общие положения. К примеру, для какой компании применяется документ, информация о согласии на обработку и достоверности данных.
  3. Предмет политики конфиденциальности.

    ВНИМАНИЕ! В структуре этого пункта прописываются условия предоставления безопасности для личных данных пользователей, и помимо этого фиксируются опции, связанные с неразглашением информации.

  4. Цели сбора информации. Здесь определяются цели политики о персональных данных организации.
  5. Способы и сроки обработки данных.
  6. Права и обязанности сторон.
  7. Ответственность сторон.
  8. Разрешение споров.
  9. Дополнительные условия. На примере ООО «МПК» (Многопрофильная процессинговая компания), это могут быть параметры изменения политики без уведомления клиента, вопросы, касающиеся тех. поддержки; адрес, где размещается действующий документ.

Подготовка документа для сайта

Документ «Политика в отношении обработки персональных данных» интернет-сайта необходимо публиковать в открытом доступе. В тексте документа в обязательном порядке стоит упомянуть следующее :


Следует помнить о том, что важно подписать документ на согласие для обработки личных сведений на сайте с компаниями, которые сотрудничают с вашей организацией (доставщик, банк, хостер, поставщик услуг и т.д.), а также позаботиться о безопасности данных с помощью специального пункта в соглашении.

  • период хранения информации и меры, предпринимаемые для обеспечения ее безопасности;
  • меры предосторожности в обращении с персональной информацией;
  • сведения о контактных лицах администрации сайта, возможные корректурные опции, вносимые в ППД.

СПРАВКА! В завершение документа указывается рабочий e-mail, куда пользователь имеет возможность обратиться для внесения изменений в сведения, их блокировки или удаления.

Администраторам сайт важно периодически проверять почтовый ящик, во избежание пропуска клиентского отклика . Стоит сказать, что для политики для сайта, важно помнить о ссылке на документ ППД, которая должна быть размещена на главной странице ресурса.

Данный факт необходим, для того чтобы каждый посетитель сайта или ревизирующий орган мог видеть, что информация находится в открытом доступе, и поиск ее не занимает много времени. Зачастую достаточно оформить общую ссылку в нижней части страницы. Неотъемлемой составляющей интернет-сайта является дисклеймер. Дисклеймер представляет собой всплывающее предупреждение о сборе статистики на портале.

Речь идет о cookie-файлах и геолокационных данных. Конкретных указаний и рекомендаций на присутствие дисклеймера нигде не прописано, но большинство специалистов советуют его устанавливать. Для зрительной безопасности пользователей сайта дисклеймер не должен резко бросаться в глаза , наилучший выход – его незаметность.

Демонстрация всплывающего окна должна быть настроена для новых клиентов, повторный показ должен быть скрыт. При формировании политики о персональных данных для сайта на территории России следует придерживаться ФЗ-152 .

Важный пункт данного закона, который обязателен для исполнения: физическое расположение хостинга ресурса. Эта информация доступна в отделе технической поддержки портала. По последним параметрам, хостинг обязан находиться в пределах территории Российской Федерации , для хранения данных в компетенции российских служб. В ситуации, когда хостинг расположен за границей, нужно осуществить переход на другой хостинг.

ВАЖНО! Владельцу ресурса необходима регистрация в качестве оператора в структурном подразделении Роскомнадзора.

Данная процедура доступна на официальном портале организации, в специальной форме уведомления. Процедура требует составления определенного пакета документов.

Важно помнить о биометрических параметрах особых категорий пользователей. При условии, что деятельность сайта предполагает работу с информацией такого типа. Согласие пользователя ресурса фиксируется только в письменной форме .

Заключение

В процессе работы в компании или организации важно понимать, что вся деятельность должна быть в рамках законодательства. Одним из параметров закона для компаний является наличие собственной политики в отношении обработки персональных данных. Необходимо иметь собственный документ такого типа, составленный со всеми рекомендациями и пунктами. Работа с клиентами благодаря наличию ППД будет более продуктивной в соответствии с правовыми нормами.

1. Общие положения

1.1. Целью настоящей Политики об обработке и защите персональных данных (далее — Политика) является обеспечение ООО «АЙЗЕЛ.РУ» (далее «Компания») процесса обработки персональных данных (далее также «ПДн») согласно нормам и принципам действующего федерального законодательства.

1.2. Настоящая Политика распространяется на все бизнес процессы Компании и обязательна к выполнению всеми сотрудниками Компании.

1.3. Между Компанией и ООО «Ландо — управление финансами» заключен договор об оказании услуг аутсорсинга, в том числе услуг по кадровому, бухгалтерскому, юридическому, финансовому, IT сопровождению.

1.4. Генеральный директор Компании является лицом, ответственным за организацию обработки персональных данных.

1.5. Для координации работ сторонних организаций, в случае их привлечения Компанией, и выполнения функций по облуживанию информационных систем, не требующих лицензии, из состава ООО «Ландо — управление финансами» приказом Генерального директора назначается ответственное лицо за обеспечение безопасности ПДн в информационных системах Компании (далее — Ответственный за безопасность ПДн).

2. Определения

2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно, определенному или определяемому физическому лицу (субъекту персональных данных);

2.2. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

2.3. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2.4. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

2.5. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

2.6. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

2.7. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

2.8. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

2.9. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

2.10. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

2.11. Машинный носитель — магнитный диск, магнитная лента, лазерный диск и иные материальные носители, используемые для записи и хранения информации с помощью электронно-вычислительной техники.

3. Принципы и условия обработки ПДн

3.1. Обработка ПДн в Компании производится строго в соответствии со следующими принципами:

  • Обработка ПДн осуществляется на законной и справедливой основе.
  • -Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей.
  • Содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки, Компания не обрабатывает избыточные персональные данных.
  • При обработке обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
  • Обрабатываемые ПДн уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.2. Компания может включать ПДн субъектов в общедоступные источники ПДн, при этом Компания берет письменное согласие субъекта на обработку его ПДн.

3.3. Компания не осуществляет обработку ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах.

3.4. Биометрические ПДн (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн) в Компании не обрабатываются.

3.5. Компания не осуществляет трансграничную передачу ПДн.

3.6. В случаях, установленных законодательством Российской Федерации, Компания вправе осуществлять передачу ПДн третьим лицам (федеральной налоговой службе, государственному пенсионному фонду иным государственным органам) в случаях, предусмотренных законодательством Российской Федерации.

3.7. Компания вправе поручить обработку ПДн субъектов ПДн третьим лицам на основании заключаемого с этими лицами договора. В частности, Компания может передавать ПДн субъектов ООО «Ландо — управление финансами», (127051, г. Москва, ул. Петровка, д. 16, комн. 49, ИНН 7707269680), на основании заключённого договора.

3.8. Лица, осуществляющие обработку ПДн на основании заключаемого с Компанией договора (поручения оператора), обязуются соблюдать принципы и правила обработки и защиты ПДн, предусмотренные Законом.

3.9. В целях исполнения требований действующего законодательства Российской Федерации и своих договорных обязательств обработка ПДн в Компании осуществляется как с использованием, так и без использования средств автоматизации, т. е. смешанная обработка ПДн.

3.10. Принятие решений, порождающих юридические последствия, на основании автоматизированной обработки ПДн в Компании не осуществляется. В противном случае, необходимо соответствующее согласие субъектов ПДн.

3.11. Обработка ПДн в Компании должна осуществляться с согласия субъекта ПДн, кроме случаев, когда такое согласие не требуется или же по поручению, в тех случаях когда Компания не является оператором ПДн субъектов.

3.12. Согласие на обработку ПДн должно удовлетворять следующим требованиям:

  • согласие субъекта должно быть получено свободно, согласно воле субъекта и в его интересах;
  • согласие должно быть дано субъектом ПДн в любой позволяющей подтвердить факт его получения форме.

3.13. Сроки обработки (хранения) ПДн определяются исходя из целей обработки ПДн, в соответствии со сроком действия договора с субъектом ПДн, требованиями федеральных законов, требованиями операторов ПДн, по поручению которых Компания осуществляет обработку ПДн, основными правилами работы архивов организаций, сроками исковой давности.

3.14. ПДн, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом. Хранение ПДн после прекращения их обработки допускается только после их обезличивания.

4. Правовые основания и цели обработки ПДн

4.1. Обработка и обеспечение безопасности ПДн в Компании осуществляется в соответствии с требованиями Конституции Российской Федерации, Закона, Трудового кодекса Российской Федерации, подзаконных актов, других определяющих случаи и особенности обработки ПДн федеральных законов Российской Федерации, руководящих и методических документов ФСТЭК России и ФСБ России.

4.2. Субъектами ПДн, обрабатываемых Компанией, являются:

  • кандидаты на вакантные должности;
  • работники Компании, родственники работников Компании, в пределах определяемых законодательством Российской Федерации, если сведения о них предоставляются работником;
  • лица, входящие в органы управления Компании и не являющимися работниками;
  • физические лица, с которыми Компанией заключаются договоры гражданско-правового характера;
  • представители юридических лиц — контрагентов Компании;
  • участники бонусных программ лояльности;
  • клиенты — потребители, в т. ч. посетители сайтов, принадлежащего Компании: , http://www.theoutlet.ru , (далее — «Сайты») в том числе с целью оформления заказа с последующей доставкой клиенту;
  • клиенты — подписчики на новостную рассылку интернет-журнала aizeMag;

4.3. Компания осуществляет обработку ПДн субъектов в следующих целях:

  • осуществления возложенных на Компанию законодательством Российской Федерации функций, полномочий и обязанностей в соответствии с федеральными законами, в том числе, но не ограничиваясь: Гражданским кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Семейным кодексом Российской Федерации, Федеральным законом от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Федеральным законом от 28.03.1998 г. № 53-ФЗ «О воинской обязанности и военной службе», Федеральным законом от 26.02.1997 г. № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации», Федеральным законом от 8.02.1998 г. № 14-ФЗ «Об обществах с ограниченной ответственностью», Федеральным законом от 07.02.1992 № 2300-1 «О защите прав потребителей», Федеральным законом от 21.11.1996 г. № 129-ФЗ «О бухгалтерском учете», Федеральным законом от 29.11.2010 г. № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», а также операторами ПДн, уставом и локальными актами Компании.

Работников в целях:

  • соблюдения трудового, налогового и пенсионного законодательства Российской Федерации, а именно:
    • содействия работникам в трудоустройстве, обучении и продвижении по службе;
    • расчета и начисления заработной платы;
    • организация деловых поездок (командировок) работников;
    • оформления доверенностей (в том числе для представления интересов Компании перед третьими лицами);
    • обеспечения личной безопасности работников;
    • контроля количества и качества выполняемой работы;
    • обеспечения сохранности имущества;
    • соблюдения пропускного режима в помещениях Компании;
    • учета рабочего времени;

Кандидатов на вакантные должности в целях:

  • принятия решения о возможности заключения трудового договора с лицами, претендующими на имеющиеся вакансии;

Лиц, входящих в органы управления Компании, не являющихся работниками, в целях:

  • выполнения требований, предусмотренных законодательством, в т. ч. обязательное раскрытие информации, аудит, проверка возможности совершения сделок, в том числе сделок с заинтересованностью и/или крупных сделок.

Контрагентов-физических лиц в целях:

  • заключения и исполнения договора, одной из сторон которого является физическое лицо;
  • рассмотрения возможностей дальнейшего сотрудничества.

Представителей юридических лиц — контрагентов Компании в целях:

  • ведения переговоров, заключение и исполнение договоров, по которым предоставляются ПДн работников такого юридического лица для целей исполнения договора по различным направлениям хозяйственной деятельности Компании.

Участников бонусных программ лояльности в целях:

  • предоставления информации по товарам, проходящим акциям, состоянию лицевого счета;
  • идентификация участника в программе лояльности; обеспечение процедуры учета накопления и использования бонусов;
  • исполнения Компанией обязательств по программе лояльности.

Клиентов — потребителей в целях:

  • предоставления информации по товарам/услугам, проходящим акциям и специальным предложениям;
  • анализа качества предоставляемого Компанией сервиса и улучшению качества обслуживания клиентов Компании;
  • информирования о статусе заказа;
  • исполнения договора, в т. ч. договора купли-продажи, в. т. ч. заключенного дистанционным способом на Сайтах, возмездного оказания услуг;
  • доставки заказанного товара клиенту, совершившему заказ на Сайтах, возврата товара.

Клиентов — подписчиков интернет-журнала AizelMag в целях:

  • подписки на новостную рассылку.

4.4. Компания может осуществлять обработку персональных данных клиентов, полученных онлайн — в сети Интернет (Сайты, мобильные приложения, социальные сети, электронная почта), офлайн — магазины (бутики), точки продаж, мероприятия (путем заполнения печатных регистрационных форм), а также при звонке в колл-центры (центры поддержки клиентов).

5. Права и обязанности субъектов ПДн

5.1. Субъект, ПДн которого обрабатываются Компанией, имеет следующие права:

  • получать от Компании информацию, касающуюся обработки его ПДн (в том числе содержащую подтверждение факта обработки ПДн, правовые основания, цели, обработки, сроки обработки, сроки хранения, наименование и адрес лица, осуществляющего обработку ПДн по поручению Компании, если обработка поручена или будет поручена такому лицу, иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»);
  • требовать от Компании уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
  • отозвать свое согласие на обработку ПДн в любой момент.

5.2. Сведения предоставляются субъекту ПДн на основании запроса. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Компанией, либо сведения иным образом подтверждающие факт обработки ПДн Клиентом, подпись субъекта или его представителя.

5.3. Запрос может быть направлен по адресу местонахождения компании: РФ, 127247, г. Москва, Дмитровское шоссе, д. 100, стр. 3, комн. 24, в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской федерации.

6. Права и Обязанности Компании

6.1. Компания в процессе обработки ПДн обязана:

  • предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса субъекта ПДн или его представителя;
  • принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
  • опубликовать в сети Интернет и обеспечить неограниченный доступ с использованием сети Интернет документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн;
  • предоставить субъектам ПДн и/или их представителям безвозмездно возможность ознакомления с Данными при обращении с соответствующим запросом в течение 30 дней с даты получения подобного запроса;
  • осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) с момента обращения или получения запроса на период проверки, в случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекту ПДн или его представителя, либо уполномоченного органа по защите прав субъектов ПДн;
  • уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) в течение 7 рабочих дней со дня представления сведений и снять блокирование ПДн, в случае подтверждения факта неточности ПДн на основании сведений, представленных субъектом ПДн или его представителем;
  • прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Компании, в случае выявления неправомерной обработки ПДн, осуществляемой Компанией или лицом, действующим на основании договора с Компанией, в срок, не превышающий 3 рабочих дней с даты этого выявления;
  • прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по договору с Компанией) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по договору с Компанией) по достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, в случае достижения цели обработки ПДн;
  • прекратить обработку ПДн или обеспечить ее прекращение и уничтожить ПДн или обеспечить их уничтожение в случае отзыва субъектом ПДн согласия на обработку ПДн, если Компания не вправе осуществлять обработку ПДн без согласия субъекта ПДн;
  • вести журнал учета обращений субъектов ПДн, в котором должны фиксироваться запросы субъектов ПДн на получение ПДн, а также факты предоставления ПДн по этим запросам.

7. Обеспечение безопасности ПДн при их обработке

7.1. При обработке ПДн Компания принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного и/или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

7.2. К таким мерам в соответствии с Законом, в частности, относятся:

  • назначение лица, ответственного за организацию обработки ПДн, и лица, ответственного за обеспечение безопасности ПДн;
  • разработка и утверждение локальных актов по вопросам обработки и защиты ПДн;
  • применение правовых, организационных и технических мер по обеспечению безопасности ПДн:
    • определение угроз безопасности ПДн при их обработке в информационных системах персональных ПДн;
    • применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
    • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
    • оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;
    • учет машинных носителей ПДн, если хранение ПДн осуществляется на машинных носителях;
    • обнаружение фактов несанкционированного доступа к Данным и принятие мер по недопущению подобных инцидентов в дальнейшем;
    • восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
    • установление правил доступа к Данным, обрабатываемым в информационной системе ПДн, а также обеспечение регистрации и учета всех действий, совершаемых с Данными в информационной системе ПДн.
  • контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности информационных систем ПДн;
  • оценка вреда, который может быть причинен субъектам ПДн в случае нарушения требований Закона, соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом;
  • соблюдение условий, исключающих несанкционированный доступ к материальным носителям ПДн и обеспечивающих сохранность ПДн;
  • ознакомление работников Компании, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе с требованиями к защите ПДн, локальными актами по вопросам обработки и защиты ПДн, и обучение работников Компании.

7.3. Требования к обработке ПДн на материальных носителях:

  • Работники, осуществляющие обработку ПДн на материальных носителях, до начала обработки должны быть проинформированы о категориях ПДн, об особенностях и правилах обработки ПДн.
  • Работник Компании отвечает за хранение и уничтожение материальных носителей с ПДн, с которыми он работает.
  • ПДн, обрабатываемые на материальных носителях, должны храниться на отдельно от иной информации.
  • Хранение материальных носителей ПДн осуществляется только при наличии действующего согласия субъекта ПД на обработку ПДн или действующего договора, стороной которой является субъект ПДн.
  • В Компании осуществляется хранение резюме и анкет кандидатов на вакантные должности в независимости принят кандидат в штат или нет. Хранение данных резюме и анкет может осуществляться только с согласия кандидата на обработку его ПДн, с указанием срока действия согласия. В случаях истечения срока обработки ПДн или требования субъекта ПДн об уничтожении ПДн, резюме и анкеты уничтожаются с использованием шредера.
  • Хранение материальных носителей ПДн в открытом доступе в рабочих помещениях подразделений Компании и на столах работников допускается только в течение рабочего дня, под персональной ответственностью работника. По окончании работы с материальным носителем работник должен убрать материальный носитель в запираемый шкаф, закрепленный за работником, или в шкаф непосредственного руководителя. Доступ к шкафам должен быть ограничен перечнем лиц, имеющих доступ к ПДн.
  • В случае окончания срока обработки ПДн работник осуществляет уничтожение бумажных носителей ПДн с использованием шредера без оформления акта об уничтожении.

7.4. Ревизия осуществляется независимо каждым работником в отношении материальных носителей ПДн, с которыми он работает. В ходе ревизии должны быть выявлены бумажные носители ПДн, которые не требуются работникам для дальнейшего выполнения своих трудовых обязанностей.

7.5. Работники Компании получают доступ к ПДн исключительно в объеме, необходимом для выполнения своих должностных обязанностей.

8. Ответственность за нарушения норм, регулирующих обработку ПДн

8.1. Обеспечение конфиденциальности ПДн, обрабатывающихся в Компании, является обязательным требованием для всех работников, которым ПДн стали известны, как в связи с рабочей деятельностью, так и по случайности или ошибке.

8.2. Работники несут персональную ответственность за соблюдение требований по обработке и обеспечению безопасности ПДн, установленных в Компании.

8.3. В случаях нарушения установленного порядка обработки и обеспечения безопасности ПДн, несанкционированного доступа к ПДн, раскрытия ПДн и нанесения компанией, ее работникам, клиентам и контрагентам материального или иного ущерба виновные лица несут ответственность, предусмотренную действующим законодательством Российской Федерации.

9. Заключительные положения

9.1. Настоящая Политика является локальным нормативным актом Компании. Настоящая Политика является общедоступной. Общедоступность настоящей Политики обеспечивается путем ее опубликования на Сайтах, размещением в магазинах (бутиках) и на сетевом диске, доступном для всех работников Компании.

9.2. Настоящая Политика может быть пересмотрена в силу изменения норм действующего законодательства или по решению Компании.