ПОЛИТИКА В ОБЛАСТИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ИП Вертянкин А.А
2.1. Политика обработки и защиты персональных данных в Компании определяется в соответствии со следующими нормативными правовыми актами:
2.2. Для регламентирования процедур и процессов обработки персональных данных Компания вправе издавать внутренние нормативные документы, содержащие требования по защите и порядку обработки персональных данных.
3.6. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
3.7. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
3.8. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3.9. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
3.10. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
3.11. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
3.12. Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
3.13. Общество – Компания.
3.14. Клиенты – физические лица и юридические лица, с которыми у Компании установлены в настоящее время, ранее уже были установлены гражданско-правовые отношения, либо которые своими действиями выражают намерение установить такие отношения.
3.15. Посетители – физические лица, в отношении которых осуществляются мероприятия по контролю доступа на защищаемые объекты Компании.
3.16. Сотрудники – штатные работники Компании, между которыми и Компанией заключен трудовой договор, либо внештатные совместители на основании гражданско-правовых договоров.
4.1. Обработка персональных данных в Компании осуществляется на основе следующих принципов:
4.1.1. Законность — защита персональных данных основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты персональных данных;
4.1.2. Системность — обработка персональных данных в Компании осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных;
4.1.3. Комплексность — защита персональных данных строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Компании (далее — ИС) и других имеющихся в Компании систем и средств защиты;
4.1.4. Непрерывность — защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки персональных данных, в том числе при проведении ремонтных и регламентных работ;
4.1.5. Своевременность — меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки;
4.1.6. Преемственность и непрерывность совершенствования — модернизация и наращивание мер и средств защиты персональных данных осуществляется на основании результатов анализа практики обработки персональных данных в Компании с учетом выявления новых способов и средств реализации угроз безопасности персональных данных, отечественного и зарубежного опыта в сфере защиты информации;
4.1.7. Персональная ответственность — ответственность за обеспечение безопасности персональных данных возлагается на Работников в пределах их обязанностей, связанных с обработкой и защитой персональных данных;
4.1.8. Минимизация прав доступа — доступ к персональным данным предоставляется Работникам только в объеме, необходимом для выполнения их должностных обязанностей;
4.1.9. Гибкость — обеспечение выполнения функций защиты персональных данных при изменении характеристик функционирования ИСПДн Компании, а также объема и состава обрабатываемых персональных данных;
4.1.10. Открытость алгоритмов и механизмов защиты — структура, технологии и алгоритмы функционирования системы защиты персональных данных Компании (далее — СЗПДн) не дают возможности преодоления имеющихся в Компании систем защиты возможными нарушителями безопасности персональных данных;
4.1.11. Научная обоснованность и техническая реализуемость — уровень мер по защите персональных данных определяется современным уровнем развития информационных технологий и средств защиты информации;
4.1.12. Специализация и профессионализм — реализация мер по обеспечению безопасности персональных данных и эксплуатация СЗПДн осуществляются Работниками, имеющими необходимые для этого квалификацию и опыт;
4.1.13. Эффективность процедур отбора кадров и выбора контрагентов: кадровая политика Компании предусматривает тщательный подбор персонала и мотивацию Работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности персональных данных; минимизация вероятности возникновения угрозы безопасности персональных данных, источники которых связаны с человеческим фактором, обеспечивается получением наиболее полной информации о контрагентах Компании до заключения договоров;
4.1.14. Наблюдаемость и прозрачность — меры по обеспечению безопасности персональных данных должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;
4.1.15. Непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты персональных данных, а результаты контроля регулярно анализируются.
— фамилия, имя, отчество;
— дата, месяц, год рождения;
— место рождения;
— адрес места жительства;
— сведения о составе семьи;
— образование;
— сведения о трудовом и общем стаже;
— паспортные данные;
— сведения о воинском учете;
— ИНН; налоговый статус (резидент/нерезидент);
— сведения о заработной плате работника;
— сведения о социальных льготах;
— специальность;
— занимаемая должность;
— телефон;
— место работы или учебы членов семьи и родственников;
— содержание трудового договора;
— состав декларируемых сведений о наличии материальных ценностей;
— содержание декларации, подаваемой в налоговую инспекцию;
— данные водительских удостоверений
— иную, не указанную выше информацию, содержащуюся в личных делах и трудовых книжках сотрудников, информацию, являющуюся основанием к приказам по личному составу;
— информацию, содержащуюся в страховом свидетельстве обязательного пенсионного страхования, свидетельстве о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации, страховом медицинском полисе обязательного медицинского страхования граждан, медицинском заключении установленной формы об отсутствии у гражданина заболевания, препятствующего поступлению на работу в Компанию;
— дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
5.3.2. Для целей осуществления уставной (коммерческой) деятельности в Компании обрабатываются следующие категории персональных данных клиентов и контрагентов:
— фамилия, имя, отчество;
— адрес электронной почты;
— паспортные данные;
— ИНН;
— адрес места жительства;
— телефон;
— данные о принадлежащем клиенту транспортном средстве, марка, государственный регистрационный номер, идентификационные данные
— иные сведения указанные заявителем.
— осуществления деятельности, предусмотренной Уставом Компании, действующим законодательством РФ;
— заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическими лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и Уставом Компании;
— обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации Оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
— организации кадрового учета Компании, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам; ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также Уставом и локальными актами Компании.
6.2. С согласия субъекта персональных данных, Компания может использовать персональные данные клиентов и контрагентов в следующих целях:
— для связи с клиентами и контрагентами в случае необходимости, в том числе для направления уведомлений, информации и запросов, связанных с оказанием услуг, а также обработки заявлений, запросов и заявок клиентов и контрагентов;
— для улучшение качества услуг, оказываемых Компанией;
— для продвижения услуг на рынке путем осуществления прямых контактов с клиентами и контрагентами;
— для проведения статистических и иных исследований на основе обезличенных персональных данных.
— субъект персональных данных выразил свое согласие на такие действия;
— передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.
— в судебные органы в связи с осуществлением правосудия;
— в органы государственной безопасности;
— в органы прокуратуры;
— в органы полиции;
— в следственные органы;
— в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.
— Пенсионный фонд РФ для учета (на законных основаниях);
— Налоговые органы РФ (на законных основаниях);
— Фонд социального страхования (на законных основаниях);
— Территориальный фонд обязательного медицинского страхования (на законных основаниях);
— Страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);
— Банки для начисления заработной платы (на основании договора);
— Органы МВД в случаях, установленных законодательством.
— физические лица, состоящие с Компанией в трудовых отношениях,
— физические лица, являющиеся близкими родственниками сотрудников Компании;
— физические лица, уволившиеся из Компании;
— физические лица, являющиеся кандидатами на работу;
— физические лица, состоящие в договорных и иных гражданско-правовых отношениях с Компанией
— физические лица – работники сторонних организаций, работающие по договорам гражданско-правового характера;
— физические лица — клиенты Компании;
— физические лица: потенциальные клиенты Компании, предоставившие согласие на обработку их персональных данных, в том числе предоставившие согласия на получение рекламы и информационных рассылок по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи в письменной или электронной форме, подписанной электронной подписью;
— пользователи официального сайта Компании (сервисов «Личный кабинет» и подсайтов Компании), являющиеся стороной пользовательского соглашения с Компанией либо предоставившие согласие на обработку их персональных данных.
10.2.1 Все персональные данные необходимо получать от самого субъекта персональных данных. Если персональные данные субъекта можно получить только у третьей стороны, то Субъект должен быть уведомлен об этом или от него должно быть получено согласие.
10.2.2. Оператор должен сообщить Субъекту о целях, предполагаемых источниках и способах получения ПД, характере подлежащих получению ПД, перечне действий с ПД, сроке, в течение которого действует согласие и порядке его отзыва, а также о последствиях отказа Субъекта дать письменное согласие на их получение.
10.2.3. Документы, содержащие ПД создаются путем:
— копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);
— внесения сведений в учетные формы;
— получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).
10.3.1 Обработка персональных данных ведется:
— с использованием средств автоматизации
— без использования средств автоматизации
10.3.2 Обработка персональных данных осуществляется:
— с передачей по внутренней сети юридического лица;
— с передачей по сети Интернет
10.3.3 Перечень действий Оператора по обработке персональных данных:
— сбор,
— запись,
— систематизация,
— накопление,
— использование,
— хранение,
— уточнение (обновление, изменение),
— извлечение,
— передача (предоставление, распространение, доступ),
— обезличивание,
— блокирование,
— удаление,
— уничтожение.
10.4.1 Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
10.4.2 В случае получения согласия клиента (или контрагента) на обработку персональных данных в целях продвижения услуг Компании на рынке путем осуществления прямых контактов с помощью средств связи, данные клиента (или контрагента) хранятся бессрочно (до отзыва субъектом персональных данных согласия на обработку его персональных данных).
10.4.3 Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
10.4.4 Персональные данные, зафиксированные на бумажных носителях хранятся в запираемых шкафах, либо в запираемых помещениях с ограниченным правом доступа.
10.4.5 Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках (вкладках).
10.4.6 Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) в ИСПД.
10.4.7 Хранение персональных данных в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
— лица, уполномоченные приказом Компании,
— лица, которым Компания поручила обработку Персональных данных на основании заключенного договора,
— лица, чьи персональные данные подлежат обработке.
12.1 Основными мерами защиты персональных данных являются:
— разработка и утверждение Политики в отношении обработки персональных данных,
— принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;
— ограничение круга должностных лиц имеющих доступ к базе персональных данных;
— использование паролей (кодов) доступа к ПЭВМ, к локальной вычислительной сети; программе 1 С;
— использование специальных программ защиты персональных данных (антивирусные программы, межсетевые экраны);
— отсутствие доступа к базе персональных данных из внешней сети;
— запись и ведение учета телефонных разговоров в Компании, привлечение организации, обеспечивающей сохранность и ограничение доступа к ним;
— хранение информации на бумажных и (или) электронных носителях в сейфах, специально оборудованных помещениях;
— оборудование помещений сигнализацией;
— сдача помещений под охрану;
— издание распорядительных документов и назначение лиц ответственных за выполнение мероприятий по защите персональных данных.
— оборудование помещений системами видеонаблюдения;
— учет материальных носителей информации путем маркировки и занесения сведений о них в журналы учета;
— регистрация выдачи и возврата материальных носителей персональных данных;
— идентификация и проверка права доступа пользователя при входе в систему;
— регистрация начала и окончания работы с базой персональных данных с указанием данных пользователя;
— регистрация попыток доступа или случаев несанкционированного доступа в систему;
— наличие и использование средств восстановления системы защиты персональных данных, их периодическое обновление и контроль работоспособности.
— осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 26.07.2006 № 152‑ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами требованиям к защите персональных данных, настоящей Политике, локальным нормативным актам Компании.
12.2 Компания не вправе обрабатывать персональные данные субъекта персональных данных без его письменного согласия, за исключением случаев, приведенных в п. 2 ст. 6 Федерального закона №152-ФЗ «О персональных данных». Письменное согласие может быть составлено в виде отдельного документа или быть внедрено в структуру иного документа, подписываемого субъектом персональных данных.
— достижения цели обработки персональных данных
— если сохранение персональных данных более не требуется для целей обработки персональных данных
— если Компания не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных
— принять меры к уничтожению персональных данных;
— оформить соответствующий Акт об уничтожении персональных данных (и/или- материальных носителей персональных данных). Акт об уничтожении персональных данных (и/или материальных носителей персональных данных) подлежит утверждению Генеральным директором Компании;
— в случае необходимости уведомить об уничтожении персональных данных субъекта персональных данных и/или уполномоченный орган.
— подтверждение факта обработки персональных данных Оператором;
— правовые основания и цели обработки персональных данных;
— цели и применяемые оператором способы обработки персональных данных;
— наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
— сроки обработки персональных данных, в том числе сроки их хранения;
— порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
— обращения к оператору и направлению ему запросов;
— обжалование действий или бездействия оператора.
— требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
— требовать перечень своих персональных данных, обрабатываемых Компанией и получать информацию о сроках обработки своих персональных данных, в том числе источник их получения;
— числе о сроках их хранения;
— требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
15.2. Для реализации вышеуказанных прав субъект персональных данных, может в порядке, установленном ст.14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», обратиться в Компанию с соответствующим запросом.
15.3. Для выполнения таких запросов представителю Компании может потребоваться установить личность субъекта персональных данных и запросить дополнительную информацию.
15.4. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в порядке, предусмотренном законодательством Российской Федерации.
— организовывает инструктирование и обучение работников;
— ведет персональный учёт работников, прошедших инструктирование и обучение.
Электронная версия Политики – на сайте Компании: http://www.sarcar-shop.ru/politika_konf
Компания уведомляет посетителей официального Интернет-сайта Компании о том, что информация о посетителях (IP-адрес, имя домена, тип браузера и операционная система, дата и время посещения и т.д.) собирается и сохраняется в целях ведения статистики посещений. Персональные данные посетителей официального Интернет-сайта Компании (ФИО, телефон, адрес электронной почты и т.д.) собирается и сохраняется исключительно для внутренних целей использования Компанией и в отношении указанных данных соблюдаются все условия конфиденциальности и безопасности, обозначенные в настоящей Политике.индивидуальный предприниматель Вертянкин А.А. Тел: +7(8452)704-710