Дом Мебели Нарвский логотип
Поиск

Политика в отношении обработки и обеспечения безопасности персональных данных в ООО «Дом мебели Нарвский»

1. Общие положения

1.1. Назначение документа

Настоящая Политика в отношении обработки и обеспечения безопасности персональных данных (далее – Политика) разработана на основании ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных», с учетом требований Конституции РФ, федеральных законов и иных нормативных правовых актов РФ в области персональных данных.

Действие настоящей Политики распространяется на отношения по обработке и обеспечению безопасности информации ограниченного доступа, относящейся в соответствии с законодательством Российской Федерации к персональным данным (далее – ПД), а также определяет ответственность ООО «Дом мебели Нарвский» (далее – Компания) и ее должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм законодательства РФ, регулирующих обработку и защиту ПД.

Настоящая Политика определяет принципы, цели, порядок и условия обработки ПД работников Компании и иных субъектов, чьи ПД обрабатываются Компанией.

В настоящей Политике содержатся положения об ответственности Компании и её работников, в случае выявления нарушений законодательства РФ, при обработке ПД.

Настоящая Политика является общедоступным документом и может быть предоставлена по требованиям субъектов ПД, направленным в адрес Компании.

1.2. Область действия документа

Действие настоящей Политики не распространяется на отношения, возникающие при:

  • организации хранения, комплектования, учета и использования содержащих ПД документов, имеющих статус архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
  • обработке ПД, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Положения настоящей Политики являются обязательными для выполнения всеми работниками и иными лицами, имеющими договорные отношения с Компанией.

2. Принципы обработки персональных данных

Обработка ПД осуществляется в Компании на основе следующих принципов:

  1. Обработка ПД осуществляется на законной и справедливой основе.
  2. Обработка ПД ограничена достижением конкретных, заранее определенных и законных целей.
  3. Компания обрабатывает только ПД, отвечающие целям их обработки.
  4. Компания разделяет базы данных, содержащие ПД, обработка которых осуществляется в целях, несовместимых между собой.
  5. Содержание и объем обрабатываемых ПД соответствуют заявленным целям обработки.
  6. Обрабатываемые ПД не являются избыточными по отношению к заявленным целям их обработки.
  7. При обработке ПД обеспечиваются точность ПД, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПД.
  8. Принимаются необходимые меры, либо обеспечивается их принятие по удалению или уточнению неполных, или неточных ПД.
  9. Хранение ПД осуществляется в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПД.
  10. Обрабатываемые ПД уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3. Цели обработки персональных данных

Компания осуществляет обработку ПД в целях осуществления деятельности Компании, согласно законодательству РФ и Уставу Компании.

Детализация целей обработки персональных данных определяется в локально-нормативных актах Компании.

4. Категории субъектов персональных данных и категории обрабатываемых персональных данных

4.1. Категории субъектов персональных данных, обрабатываемые в ООО «Дом Мебели Нарвский»

Категории субъектов, персональные данные которых обрабатываются в Компании с использованием средств автоматизации или без использования таковых:

  1. Субъекты, данные которых обрабатываются в рамках трудовых отношений, представленные:
    • кандидатами на работу в Компанию (соискателями);
    • работниками Компании;
    • членами семей работников Компании (супруги, дети и близкие родственники);
    • лицами, имевшими ранее трудовые отношения с Компанией.
  2. Контрагенты Компании, представленные:
    • руководителями;
    • представителями контрагентов;
    • юридическими лицами и их работниками;
    • индивидуальными предпринимателями и их работниками (при наличии);
    • физическими лицами, имеющими или имевшими договорные отношения с Компанией, в том числе находящимися на преддоговорном этапе установления таких отношений.
  3. Клиенты Компании, в состав которых включаются:
    • физические лица (покупатели) и их представители (лица, действующие по доверенности и др.), имеющие договорные отношения с Компанией;
    • посетители интернет-магазина и сайта Компании;
    • пользователи мобильного приложения;
    • участники программы лояльности.
  4. Посетители Компании
  5. Иные субъекты персональных данных, которые не вошли в вышеперечисленные категории, и обработка ПД которых не противоречит законодательству РФ и необходима ООО «Дом мебели Нарвский» для осуществления целей обработки персональных данных.

4.2. Категории персональных данных, обрабатываемые в ООО «Дом мебели Нарвский»

В Компании обрабатываются следующие категории ПД:

  • иные категории, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным или к общедоступным ПД;
  • специальные категории.

5. Состав лиц, организующих и участвующих в обработке и обеспечении безопасности ПД.

В Компании назначается лицо, ответственное за организацию обработки ПД.

В Компании назначается лицо, ответственное за обеспечение безопасности ПД в информационных системах персональных данных (далее – ИСПД).

В обработке ПД в Компании участвуют работники, в рамках выполнения своих должностных обязанностей.

6. Обработка и обеспечение безопасности ПД.

6.1. Обработка и порядок прекращения обработки ПД.

Обработка ПД в Компании допускается в следующих случаях:

  • обработка ПД осуществляется с согласия субъекта ПД на обработку его ПД;
  • обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПД, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет являться выгодоприобретателем или поручителем;
  • обработка ПД необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПД;
  • обработка ПД осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПД. Исключение составляет обработка ПД в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;
  • осуществляется обработка ПД, доступ неограниченного круга лиц к которым предоставлен субъектом ПД путем дачи согласия на обработку персональных данных, разрешенных субъектом ПД для распространения в порядке, предусмотренном ст. 10.1 ФЗ № 152-ФЗ «О персональных данных»;
  • осуществляется обработка ПД, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
  • также обработка ПД Компанией возможна в иных случаях, предусмотренных федеральным законодательством.

Включение Компанией ПД субъектов, в общедоступные источники ПД, возможно только в случае наличия требований федерального законодательства, либо в случае получения письменного согласия субъекта ПД.

Компания осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ, с использованием баз данных, находящихся на территории РФ.

Компания осуществляет трансграничную передачу ПД субъектов, в целях исполнения договорных обязательств с контрагентами в соответствии со статьей 12 ФЗ №152-ФЗ «О персональных данных» от 27.07.2006 г.

Компания может осуществлять обработку биометрических персональных данных только при наличии требований федерального законодательства, либо при наличии письменного согласия субъекта ПД.

Компанией не осуществляется принятие решений, порождающих юридические последствия в отношении субъекта ПД или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки ПД.

Компания вправе поручить обработку ПД другому лицу только с согласия субъекта ПД, если иное не предусмотрено законодательством РФ, на основании заключаемого с этим лицом договора (далее – поручение оператора). При этом Компания обязывает лицо, осуществляющее обработку ПД по поручению, соблюдать принципы и правила обработки ПД, предусмотренные законодательством РФ. В случае, если Компания поручает обработку ПД третьим лицам, ответственность перед субъектом ПД за действия указанного лица несет Компания. Лицо, осуществляющее обработку ПД по поручению Компании, несет ответственность перед Компанией.

Компания обязуется и обязывает иных лиц, получивших доступ к ПД, не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено законодательством РФ.

Обработка Компанией ПД прекращается в следующих случаях:

  • достижение целей обработки ПД;
  • истечение срока обработки ПД, предусмотренного законодательством Российской Федерации, договором или согласием субъекта ПД на обработку его ПД;
  • при отзыве субъектом ПД согласия на обработку его ПД, в случаях, не противоречащих требованиям законодательства Российской Федерации.

6.2 Сведения о реализуемых требованиях по защите ПД.

Компания принимает все необходимые правовые, организационные и технические меры при обработке ПД, для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПД.

Реализуются меры по организации обработки и обеспечению безопасности ПД, обрабатываемых без средств автоматизации, в том числе:

  • для каждой категории ПД должны быть определены места хранения ПД (материальных носителей) и установлен перечень лиц, осуществляющих обработку ПД и имеющих к ним доступ;
  • должно быть обеспечено раздельное хранение ПД (материальных носителей), обработка которых осуществляется в различных целях;
  • должны соблюдаться условия, обеспечивающие сохранность ПД и исключающие несанкционированный доступ (далее – НСД) к ним при хранении материальных носителей.

Реализуются меры по защите ПД при их обработке в информационных системах ПД, в том числе:

  • определяется уровень защищенности ПД при их обработке в информационных системах;
  • выполняются требования по защите ПД в информационных системах ПД, в соответствии с определенными уровнями защищенности ПД;
  • применяются необходимые средства защиты информации;
  • осуществляется оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию ИСПД;
  • осуществляется учет машинных носителей ПД;
  • осуществляется обнаружение фактов НСД к ПД и принятие необходимых мер;
  • осуществляется восстановление ПД, модифицированных или уничтоженных вследствие НСД к ним;
  • устанавливаются правила доступа к ПД, обрабатываемым в ИСПД, а также обеспечиваются регистрация и учет действий, совершаемых с ПД в ИСПД, там, где это необходимо;
  • контролируются принимаемые меры по обеспечению безопасности ПД и уровень защищенности ИСПД.

7. Права субъекта ПД.

Субъект ПД имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки его персональных данных Компанией;
  • правовые основания и цели обработки персональных данных;
  • сведения о применяемых Компанией способах обработки ПД;
  • наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании законодательства Российской Федерации;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
  • информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • иные сведения, предусмотренные законодательством РФ.

В соответствии с ч.3 ст. 14 ФЗ №152-ФЗ «О персональных данных» от 27.07.2006 г. запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Компанией, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных уполномоченными работниками Компании в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

Субъект персональных данных имеет право на уточнение его персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Субъект персональных данных имеет право на отзыв согласия на обработку своих персональных данных, однако Компания вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии законных оснований.

В запросе на уточнение, блокирование или уничтожение персональных данных, а также на отзыв согласия на обработку персональных данных должна содержаться информация, необходимая для идентификации субъекта, определения его ПД, обрабатываемых Компанией или проверки сведений, указанных в запросе.

По вопросам, связанным с обработкой и защитой Ваших персональных данных, Вы можете связаться с Компанией, направив письменный запрос по адресу: 198095, г. Санкт-Петербург, Ул. Ивана Черных, дом № 4, литера В, 1Н помещение 41.

Если субъект персональных данных считает, что Компания осуществляют обработку его персональных данных с нарушением требований законодательства Российской Федерации или иным образом нарушаются его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Компании в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор).

8. Нарушение политики и ответственность.

Компания несет ответственность за соответствие порядка обработки и обеспечения безопасности персональных данных законодательству РФ.

Все работники Компании, осуществляющие обработку ПД, несут ответственность за соблюдение настоящей Политики и иных локальных актов Компании по вопросам обработки и обеспечения безопасности персональных данных.

Любой работник, которому стало известно о нарушении настоящей Политики или который подозревает о существовании такого нарушения, должен сообщить об этом лицу, ответственному за организацию обработки ПД, в соответствии с существующими в Компании процедурами.

По факту любых нарушений требований настоящей Политики будут проведены разбирательства в соответствии с существующими в Компании процедурами, по результатам которых могут быть применены меры дисциплинарной ответственности в соответствии с трудовым законодательством РФ.

В тех случаях, когда нарушений требований настоящей Политики явилось причиной нарушения положений законодательства РФ, Компания вправе обратиться в правоохранительные органы.

Перечень условных обозначений, терминов и сокращений

  • ИСПД – Информационная система персональных данных
  • Компания – ООО «Дом мебели Нарвский»
  • НСД – Несанкционированный доступ
  • ПД – Персональные данные