Политика конфиденциальности

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее — Политика обработки ПД) определяет политику, порядок и условия Оператора в отношении обработки персональных данных,  в том числе Покупателей товаров и услуг Оператора, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.

1.2. Политика обработки ПД разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, федеральным законом от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации", федеральным законом 27 июля 2006 года № 152-ФЗ "О персональных данных", постановлением Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", иными федеральными законами и нормативно-правовыми актами в области персональных данных.

1.3. Настоящее Положение и изменения к нему утверждаются руководителем Оператора и вводятся в действие приказом Оператора.

1.4. Политика обработки ПД разработана с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных (далее – ПД).

1.5. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в ООО «Горилка» вопросы обработки персональных данных работников ООО «Горилка» и других субъектов персональных данных (в том числе покупателей).

1.6. Основные понятия, используемые в Положении:

- персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

- оператор персональных данных (оператор) - общество с ограниченной ответственностью  «Горилка» (ИНН 6367036500,  ОГРН 1026303510485), расположенное по адресу: 443020, г. Самара, ул. Галактионовская, дом 27, 1 этаж, позиция 2, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

- обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Указанная обработка персональных данных включает в себя, в том числе: сбор, запись,  систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение,  использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование,  удаление, уничтожение;

- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

- субъекты персональных данных – работники, граждане, являющиеся клиентами или контрагентами Оператора, иные лица. 

1.7. Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены под роспись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами Оператора по вопросам обработки персональных данных. 

1.8. Режим конфиденциальности персональных данных Оператор обеспечивает в соответствии с Положением Оператора о конфиденциальности.

1.9. Опубликование или обеспечение иным образом неограниченного доступа к настоящему Положению, иным документам, определяющим политику Оператора в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных Оператор проводит в соответствии с Положением Оператора о раскрытии информации.

1.10. Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных и внутренними локальными актами Оператора.

2. Цели обработки персональных данных

2.1. Целью обработки персональных данных является:

2.1.1. Осуществление Оператором функций, возложенных на него законодательством Российской Федерации; 

2.1.2. Осуществление прав и законных интересов ООО «Горилка» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами ООО «Горилка» или третьих лиц либо достижения общественно значимых целей, в том числе продвижение товаров и услуг Оператора на рынке путем осуществления контактов с потенциальными Покупателями посредством телефонной связи, смс-сообщений, а также посредством интернет-мессенджеров;

2.1.3. В иных законных целях.

2.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.3. Обработка персональных данных организуется Оператором на принципах:

- обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;

- законности целей и способов обработки персональных данных субъектов ПД, в том числе  Покупателей, добросовестности и справедливости в деятельности Оператора;

- достоверности персональных данных Покупателей, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

- обработки только персональных данных, которые отвечают целям их обработки;

- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;

- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;

- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

3. Правовое основание обработки персональных данных

3.1. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных.

3.2. Обработка персональных данных осуществляется Оператором на основе: 

- Конституции РФ,

- Трудового кодекса РФ, 

- Гражданского кодекса РФ,

-федерального закона "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ, 

- Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15 сентября 2008 года № 687,

- Постановления РФ от 1 ноября 2012 г. N 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных, 

- Приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»,

- Приказа Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных», 

- Иных нормативных правовых актов Российской Федерации и нормативных документов уполномоченных органов государственной власти,

- Учредительных документов ООО «Горилка»,

- Локальных актов ООО «Горилка»,

- Договоров, заключаемых между Оператором и субъектом персональных данных,

- Согласий на обработку персональных данных (в случаях, прямо не предусмотренных законодательством РФ, но соответствующих полномочиям оператора).

4. Перечень действий с персональными данными

4.1. При обработке ПД Оператор осуществляет следующие действия с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

4.2. Обработка персональных данных осуществляется с соблюдением норм и правил, предусмотренных Федеральным законом от 27.07.2006г. № 152-ФЗ "О персональных данных" и в соответствии с настоящим Положением.

4.3. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

4.4. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке может осуществляться Оператором либо третьим лицом (на основании заключенного договора), путем осуществления контактов с потенциальным Покупателями с помощью телефонной связи, смс-сообщений, а также посредством интернет-мессенджеров, только при условии предварительного согласия субъекта персональных данных. При этом, согласие Покупателя (субъекта персональных данных) должно быть конкретным, информированным и сознательным, выражено в письменной форме.

4.5. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

5. Состав обрабатываемых персональных данных

5.1. Обработке Оператором подлежат ПД следующих субъектов ПД:

сотрудники Оператора;

клиенты (покупатели) Оператора;

контрагенты Оператора;

физические лица, обратившиеся к Оператору в порядке, установленном федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации",

иные лица, в соответствии с законодательством РФ.

5.2. Состав ПД каждой из перечисленных в п. 5.1 настоящего Положения категории субъектов определяется согласно нормативным документам, перечисленным в разделе 3 настоящего Положения, а также локальными документами Организации, изданными для обеспечения их исполнения.

5.3. В случаях, предусмотренных действующим законодательством, субъект персональных данных принимает решение о предоставлении его ПД Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе.

5.4. Оператор обеспечивает соответствие содержания и объема обрабатываемых ПД требованиям законодательства РФ и заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки. 

5.5. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, ООО «Горилка» не осуществляется.

6. Обработка персональных данных

6.1. Обработка персональных данных в ООО «Горилка» осуществляется следующими способами:

6.1.1. неавтоматизированная обработка персональных данных;

6.1.2. автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

6.1.3. смешанная обработка персональных данных.

6.2. Оператор на основании договора может поручить обработку персональных данных третьему лицу. При этом, существенным условием такого договора является наличие права у данного лица на обработку персональных данных, обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

6.3. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат их актуализации Оператором, а обработка должна быть прекращена, соответственно.

6.4. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

6.5. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных по основаниям, предусмотренным федеральным законом "О персональных данных" или иными федеральными законами.

6.6. Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.

6.7. В соответствии с поставленными целями и задачами Оператор до начала обработки персональных данных назначает ответственного за организацию обработки персональных данных (далее - "куратор ОПД").

6.8. Куратор ОПД получает указания непосредственно от исполнительного органа Оператора и подотчетен ему.

6.9. На основании заданной цели куратор ОПД определяет задачи, сроки, способы и условия обработки персональных данных, перечень причастных и ответственных лиц. Такие задачи, сроки, способы, условия, лица утверждаются распоряжением Оператора.

6.10. Куратор ОПД обязан:

организовывать принятие правовых, организационных и технических мер для обеспечения защиты ПД, обрабатываемых Оператором, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;

осуществлять внутренний контроль за соблюдением его подчиненными требований законодательства Российской Федерации в области ПД, в том числе требований к защите ПД;

доводить до сведения сотрудников Оператора положения законодательства Российской Федерации в области ПД, локальных актов по вопросам обработки ПД, требований к защите ПД;

организовать прием и обработку обращений и запросов субъектов ПД или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов;

в случае нарушения требований к защите ПД принимать необходимые меры по восстановлению нарушенных прав субъектов ПД;

осуществлять другие обязанности, предусмотренные законодательством РФ и локальными актами Оператора.

6.11. Куратор ОПД вправе:

иметь доступ к информации, касающейся порученной ему обработки ПД и включающей:

цели обработки ПД; категории обрабатываемых ПД; категории субъектов, персональные данные которых обрабатываются; правовые основания обработки ПД; перечень действий с персональными данными, общее описание используемых у Оператора способов обработки ПД; описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; дату начала обработки ПД; срок или условия прекращения обработки ПД; сведения о наличии или об отсутствии трансграничной передачи ПД в процессе их обработки; сведения об обеспечении безопасности ПД в соответствии с требованиями к защите ПД, установленными Правительством РФ и локальными актами Оператора; привлекать к реализации мер, направленных на обеспечение безопасности ПД, иных сотрудников Оператора с возложением на них соответствующих обязанностей и закреплением ответственности.

6.12. Условия обработки персональных данных Оператором:

6.12.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

6.12.2. Соблюдение требований законодательства РФ в области обработки ПД.

6.13. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении в порядке, предусмотренном Положением о хранении персональных данных у Оператора, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

6.14. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам в порядке и по основаниям, предусмотренным действующим законодательством Российской Федерации.

7. Обеспечение защиты персональных данных при их обработке Оператором

7.1. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами. 

7.2. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152 "О персональных данных", постановлением Правительства от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства от 01 ноября 2012 года № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказом ФСТЭК от 18 февраля 2013 года № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", и другими нормативными правовыми актами, если иное не предусмотрено федеральными законами. 

К таким мерам относятся, в частности: 

– назначение Оператором ответственного за организацию обработки персональных данных; 

– издание Оператором локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; 

– применение правовых, организационных и технических мер по обеспечению безопасности персональных данных; 

– осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора; 

– определение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных"; 

– ознакомление сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников. 

7.3. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

8. КОНТРОЛЬ, ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ИЛИ НЕИСПОЛНЕНИЕ ПОЛОЖЕНИЯ

8.1. Контроль за исполнением Положения несет Руководитель Оператора.

8.2. Контроль за соблюдением сотрудниками Оператора требований законодательства РФ и положений локальных актов Оператора организован в соответствии с Положением о внутреннем контроле Оператора при обработке персональных данных. Контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер. Он может проводиться структурным подразделением, ответственным за обеспечение безопасности персональных данных, или на договорной основе сторонними организациями, имеющими лицензии на деятельность по технической защите конфиденциальной информации.

8.3. Лица, нарушающие или не исполняющие требования Положения, привлекаются к дисциплинарной, административной или уголовной ответственности.

Скачать файл:

Политика конфиденциальности