Политика обработки персональных данных
Перечень условных обозначений, терминов и сокращений:
ИСПДн – Информационная система персональных данных
НСД – Несанкционированный доступ
ПДн – Персональные данные
ИСПДн – Информационная система персональных данных
НСД – Несанкционированный доступ
ПДн – Персональные данные
1. Общие положения.
1.1 Назначение документа. Настоящая Политика в отношении обработки и обеспечения безопасности персональных данных (далее – Политика) разработана на основании ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных», с учётом требований Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации в области персональных данных. Действие настоящей Политики распространяется на отношения по обработке и обеспечению безопасности информации ограниченного доступа, относящейся в соответствии с законодательством Российской Федерации к персональным данным (далее – ПДн), а также определяет ответственность компании и ее должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм законодательства Российской Федерации, регулирующих обработку и защиту персональных данных. Настоящая Политика определяет принципы, цели, порядок и условия обработки ПДн работников Компании и иных субъектов, чьи ПДн обрабатываются Компанией. В настоящей Политике содержатся положения об ответственности Компании и её работников, в случае выявления нарушений законодательства Российской Федерации, при обработке ПДн. Настоящая Политика является общедоступным документом и может быть предоставлена по требованиям субъектов ПДн, направленным в адрес Компании.
1.2 Действие настоящей Политики не распространяется на отношения, возникающие при: ⎯ организации хранения, комплектования, учёта и использования содержащих персональные данные документов, имеющих статус архивных документов в соответствии с законодательством об архивном деле в Российской Федерации; ⎯ обработке персональных данных, отнесённых в установленном порядке к сведениям, составляющим государственную тайну. Положения настоящей Политики являются обязательными для выполнения всеми работниками и иными лицами, имеющими договорные отношения с Компанией.
1.2 Действие настоящей Политики не распространяется на отношения, возникающие при: ⎯ организации хранения, комплектования, учёта и использования содержащих персональные данные документов, имеющих статус архивных документов в соответствии с законодательством об архивном деле в Российской Федерации; ⎯ обработке персональных данных, отнесённых в установленном порядке к сведениям, составляющим государственную тайну. Положения настоящей Политики являются обязательными для выполнения всеми работниками и иными лицами, имеющими договорные отношения с Компанией.
2. Принципы обработки персональных данных.
Обработка ПДн осуществляется в Компании на основе следующих принципов: 1) Обработка ПДн осуществляется на законной и справедливой основе. 2) Обработка ПДн ограничена достижением конкретных, заранее определённых и законных целей. 3) Компания обрабатывает только ПДн, отвечающие целям их обработки. 4) Компания разделяет базы данных, содержащие ПДн, обработка которых осуществляется в целях, несовместимых между собой. 5) Содержание и объём обрабатываемых ПДн соответствуют заявленным целям обработки. 6) Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям их обработки. 7) При обработке ПДн обеспечиваются точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. 8) Принимаются необходимые меры, либо обеспечивается их принятие по удалению или уточнению неполных, или неточных ПДн. 9) Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. 10) Обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3. Цели обработки персональных данных.
Компания осуществляет обработку персональных данных в целях осуществления деятельности Компании, согласно законодательству Российской Федерации .
3.1. Персональные данные следует получать у самого субъекта персональных данных. Если персональные данные возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Оператор должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.
3.2. Оператор не имеет права получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений данные о частной жизни работника (информация о жизнедеятельности в сфере семейных, бытовых, личных отношений) могут быть получены и обработаны работодателем только с его письменного согласия.
3.3 Основными целями обработки ПДн являются: обработка персональных данных для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
3.1. Персональные данные следует получать у самого субъекта персональных данных. Если персональные данные возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Оператор должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.
3.2. Оператор не имеет права получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений данные о частной жизни работника (информация о жизнедеятельности в сфере семейных, бытовых, личных отношений) могут быть получены и обработаны работодателем только с его письменного согласия.
3.3 Основными целями обработки ПДн являются: обработка персональных данных для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
4. Категории субъектов персональных данных и категории обрабатываемых персональных данных.
4.1 Клиенты компании, в состав которых включаются : - физические лица (покупатели), имеющие договорные отношения с Компанией, - посетители интернет-магазина и сайта Компании.
4.2 Категории персональных данных обрабатываемых в Компании - общедоступные ПДн
4.2 Категории персональных данных обрабатываемых в Компании - общедоступные ПДн
5. Состав лиц, организующих и участвующих в обработке и обеспечении безопасности персональных данных.
В Компании назначается лицо, ответственное за организацию обработки ПДн.
6. Обработка и обеспечение безопасности персональных данных.
6.1 Обработка и порядок прекращения обработки персональных данных. Обработка ПДн в Компании допускается в следующих случаях: ⎯ обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн; ⎯ обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, в том числе в случае реализации Компанией своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
Компания вправе поручить обработку ПДн другому лицу только с согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации. При этом Компания обязывает лицо, осуществляющее обработку ПДн по поручению, соблюдать принципы и правила обработки ПДн, предусмотренные законодательством Российской Федерации. В случае, если Компания поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несёт Компания. Лицо, осуществляющее обработку ПДн по поручению Компании, несёт ответственность перед Компанией. Компания обязуется и обязывает иных лиц, получивших доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.
Обработка Компанией ПДн прекращается в следующих случаях: ⎯ достижение целей обработки ПДн; ⎯ истечение срока обработки ПДн, предусмотренного законодательством Российской Федерации, договором или согласием субъекта Пдн на обработку его ПДн; ⎯ при отзыве субъектом ПДн согласия на обработку его ПДн, в случаях, не противоречащих требованиям законодательства Российской Федерации.
6.2. Сведения о реализуемых требованиях по защите персональных данных. Компания принимает все необходимые правовые, организационные и технические меры при обработке ПДн, для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн. Реализуются меры по организации обработки и обеспечению безопасности ПДн, обрабатываемых без средств автоматизации, в том числе: ⎯ для каждой категории ПДн определены места хранения ПДн (материальных носителей⎯ должно быть обеспечено раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях; ⎯ должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный доступ (далее – НСД)
6.3 Получение письменного согласия на обработку ПДн осуществляется Оператором, при получении ПДн от субъекта ПДн, путем оформления письменного согласия по форме(когда цели обработки не входят в договор розничной продажи товаров ) , и установленной Оператором или акцептом Политики обработки персональных данных, размещенной на сайте https://vfd-nn.ru , выраженного в форме «проставления галочки» в окне «Я согласен с обработкой персональных данных».
7. Права субъекта персональных данных.
7.1 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: ⎯ подтверждение факта обработки его персональных данных Компанией; ⎯ правовые основания и цели обработки персональных данных; ⎯ сведения о применяемых Компанией способах обработки персональных данных; ⎯ наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании законодательства Российской Федерации; ⎯ обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения; ⎯ сроки обработки персональных данных, в том числе сроки их хранения; ⎯ порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
7.2 Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных уполномоченными работниками Компании в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных. Субъект персональных данных имеет право на уточнение его персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными.
7.3 Субъект персональных данных имеет право на отзыв согласия на обработку своих персональных данных.
7.2 Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных уполномоченными работниками Компании в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных. Субъект персональных данных имеет право на уточнение его персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными.
7.3 Субъект персональных данных имеет право на отзыв согласия на обработку своих персональных данных.
8. Нарушение политики и ответственность.
Компания несёт ответственность за соответствие порядка обработки и обеспечения безопасности персональных данных законодательству Российской Федерации. Все работники Компании, осуществляющие обработку персональных данных, несут ответственность за соблюдение настоящей Политики и иных локальных актов Компании по вопросам обработки и обеспечения безопасности персональных данных. Любой работник, которому стало известно о нарушении настоящей Политики или который подозревает о существовании такого нарушения, должен сообщить об этом лицу, ответственному за организацию обработки ПДн, в соответствии с существующими в Компании процедурами.