Политика обработки персональных данных
1.Общие положения
1.1. Настоящий документ определяет политику компании «Ангстрем» (далее - Оператор) в отношении обработки персональных данных и реализации требований к защите персональных данных (далее - Политика) в соответствии с требованиями ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
1.2. К настоящей Политике должен иметь доступ любой субъект персональных данных. Все субъекты персональных данных гарантируют, что являются совершеннолетними.
1.3. В настоящей Политике используются следующие основные понятия:
• Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
• Сайт - www.angstrem-mebel.ru, официальный сайт Оператора в информационно-телекоммуникационной сети «Интернет».
• Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
• Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
• Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
• Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
• Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Оператор вправе вносить изменения в настоящую Политику без согласия субъектов персональных данных. В этом случае изменения вступают в силу в день опубликования на Сайте.
2. Цели обработки персональных данных, субъекты обработки персональных данных, категории персональных данных, основание для обработки персональных данных
№ п/п Цель обработки персональных данных Субъекты обработки персональных данных Категории персональных данных
1 ведение кадрового и бухгалтерского учета Работники, Родственники работников, Уволенные работники фамилия, имя, отчество, ИНН, пол, дата и место рождения, гражданство, профессия, должность, образование, СНИЛС, отношение к воинской обязанности, сведения о воинском учете, семейное положение, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), данные документа, удостоверяющего личность, адрес места жительства, адрес регистрации, номер телефона, номер расчетного счета
2 обеспечение соблюдения трудового законодательства Работники, Родственники работников, Уволенные работники фамилия, имя, отчество, ИНН, пол, дата и место рождения, гражданство, профессия, должность, образование, СНИЛС, отношение к воинской обязанности, сведения о воинском учете, семейное положение, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), данные документа, удостоверяющего личность, адрес места жительства, адрес регистрации, номер телефона, номер расчетного счета
3 обеспечение соблюдения налогового законодательства Работники, Контрагенты фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; доходы; пол; адрес места жительства; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; профессия; должность
4 обеспечение соблюдения пенсионного законодательства Работники фамилия, имя, отчество; дата рождения; место рождения; доходы; пол; адрес места жительства; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); профессия; должность
5 подготовка, заключение и исполнение гражданско-правового договора Клиенты, Контрагенты, Представители контрагентов фамилия, имя, отчество, номер телефона, адрес места жительства, адрес регистрации, электронная почта, ИНН, СНИЛС, данные документа, удостоверяющего личность; номер расчетного счета
6 подбор персонала (соискателей) на вакантные должности оператора Соискатели фамилия, имя, отчество, пол, гражданство, номер телефона, адрес электронной почты, профессия, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), сведения об образовании, семейное положение, социальное положение
3. Порядок хранения, сроки обработки и уничтожения персональных данных
3.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
3.2. Персональные данные, полученные на основании согласий субъектов персональных данных, хранятся в течение срока действия таких согласия (либо до момента получения отзыва согласия), а также до достижения целей их обработки.
3.3. Сроки хранения персональных данных для всех целей регламентируются требованиями законодательства и настоящей Политикой.
3.4. Срок хранения персональных данных для цели 5 (подготовка, заключение и исполнение гражданско-правового договора) ограничен сроком исполнения всех обязательств, в том числе гарантийных, по заключенному договору.
3.5. Для всех целей обработка Оператором персональных данных прекращается в следующих случаях:
• достижение целей обработки персональных данных;
• истечение срока обработки персональных данных, предусмотренного законодательством Российской Федерации, договором или согласием субъекта персональных данных на обработку его персональных данных;
• при отзыве субъектом персональных данных согласия на обработку его персональных данных, в случаях, не противоречащих требованиям законодательства Российской Федерации.
• в случаях, установленных федеральным законом или договором, стороной которого является субъект персональных данных.
3.6. Уничтожение персональных данных субъекта для всех указанных целей осуществляется комиссией по защите информации.
Уничтожение персональных данных, обрабатываемых автоматическим способом, производится путем стирания из массива данных.
Уничтожение персональных данных, обрабатываемых неавтоматическим способом, производится путем механического измельчения.
Уничтожение персональных данных должно производиться способом, исключающим возможность восстановления этих персональных данных. При уничтожении персональных данных должны соблюдаться условия по конфиденциальности этих данных.
Порядок уничтожения регламентирован Положением об уничтожении персональных данных, утвержденным приказом Оператора.
3.7. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекращает их обработку в срок, не превышающий десяти рабочих дней с даты поступления указанного отзыва. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
4. Обработка персональных данных
4.1. Оператором используется смешанный (с использованием средств автоматизации и без использования средств автоматизации) способ обработки персональных данных.
4.2. Оператор не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов, третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, установленных федеральными законами.
4.3. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
4.4. Обработка персональных данных осуществляется с согласия субъектов персональных данных.
5. Права субъектов персональных данных
5.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных.
5.2. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в том числе в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.3. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
5.4. Субъект персональных данных имеет все иные права, определенные главой 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
6. Предоставление сведений о персональных данных
6.1. Сведения о персональных данных, указанные в части 7 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ, предоставляются Оператором субъекту персональных данных или его представителю при обращении к Оператору либо при получении в Оператором запроса от субъекта персональных данных или его представителя в течение десяти рабочих дней с момента обращения либо получения Оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6.2. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя.
6.3. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
6.4. Сведения предоставляются в доступной форме, в них не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
6.5. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
6.6 В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
6.7. Оператор уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
6.8. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней со дня получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
7.Меры, принимаемые Оператором для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных
7.1. Меры, предпринятые Оператором для исполнения обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных, включают:
1. назначение ответственного за организацию обработки персональных данных;
2. издание документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки и обеспечения безопасности персональных данных;
3. ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями действующего законодательства о персональных данных, требованиями к защите персональных данных, настоящей Политикой, локальными актами Оператора по вопросам обработки и защиты персональных данных;
4. применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
5. оценка вреда, который может быть причинен субъектам персональных данных;
6. осуществление внутреннего контроля соответствия процесса обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных», принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным актам Оператора;
7. опубликование документа, определяющего политику в отношении обработки персональных данных и сведениях о реализуемых требованиях к защите персональных данных в общем доступе в салонах;
8. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
9. использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
10. учет и обеспечение сохранности материальных носителей персональных данных;
11. организация режима обеспечения безопасности помещений, в которых размещены информационные системы персональных данных, а также хранятся материальные носители персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
12. обнаружение и принятие мер по фактам несанкционированного доступа к персональным данным;
13. установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
14. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
15. в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, готовность к взаимодействию с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
16. реализация и контроль организационных и технических мер в соответствии с постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
8. Ответственность должностных лиц
8.1. Работники Оператора, допущенные к персональным данным, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующем законодательством.
9. Поручение на обработку персональных данных.
9.1. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом.
9.2. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
9.3. В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед Оператором.
