1. ВВЕДЕНИЕ
1.1 Настоящий документ определяет политику ООО "ДМ Текстиль-Урал" (далее — Компания) в отношении обработки персональных данных (далее — ПДн).
1.2 Компания является оператором ПДн в соответствии с законодательством Российской Федерации о ПДн.
1.3 Настоящая Положение разработано в соответствии с действующим законодательством Российской Федерации о ПДн:
— Федеральный закон Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее — 152-ФЗ, ФЗ «О персональных данных»), устанавливающий основные принципы и условия обработки ПДн, права, обязанности и ответственность участников отношений, связанных с обработкой ПДн;
— Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
1.4 Действие настоящего Положе6ния распространяется на любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
1.5 Настоящее Положение подлежит пересмотру и, при необходимости, актуализации в случае изменений в законодательстве Российской Федерации о ПДн.
2. ПРИНЦИПЫ ОБРАБОТКИ ПДН
Обработка ПДн осуществляется на основе следующих принципов:
2.1 Обработка ПДн осуществляется на законной и справедливой основе;
2.2 Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
2.3 Обработка ПДн, несовместимая с целями сбора ПДн, не допускается;
2.4 Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
2.5 Содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям обработки;
2.6 При обработке ПДн обеспечивается точность ПДн и их достаточность, в случаях необходимости и актуальность ПДн по отношению к заявленным целям их обработки;
2.7 Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн;
2.8 Обрабатываемые ПДн подлежат уничтожению или обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3. ПРЕДМЕТ ПДН И ЦЕЛИ ОБРАБОТКИ ПДН
3.1. Персональные данные, разрешённые к обработке в рамках настоящего Положения, предоставляются Субъектом ПДн путём заполнения регистрационных форм на Сайте Компании и могут включать в себя следующую информацию:
3.1.1. фамилию, имя, отчество Субъекта ПДн;
3.1.2. контактный телефон Субъекта ПДн;
3.1.3. адрес электронной почты (e-mail);
3.1.4. место жительство Субъекта ПДн.
3.2. Персональные данные могут использоваться Компанией в целях:
3.2.1. Регистрация и авторизация Субъекта ПДн на сайте.
3.2.2. Обработка заказов Субъекта ПДн и выполнение перед ним обязательств, связанных с заказами, в том числе связь с Субъектом: направление уведомлений, запросов и информации, касающихся Использования, исполнения соглашений и договоров, а также обработка запросов и заявок от Субъекта ПДн, включая возможные рассылки информационного и рекламного характера;
3.2.3. Уведомления Субъекта ПДн о состоянии Запроса.
3.2.4. Предоставления Субъекту ПДн эффективной клиентской и технической поддержки при возникновении проблем связанных с использованием Сайта.
3.2.5. Информирование Субъекта ПДн об акциях, специальных предложениях, о новых товарах и услугах.
4. УСЛОВИЯ ОБРАБОТКИ ПДН
4.1 Обработка ПДн осуществляется с соблюдением принципов и правил, установленных ФЗ «О персональных данных». Обработка ПДн осуществляется в следующих случаях:
1) обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
2) обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
4) обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
5) обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
6) обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн. Исключение составляет обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи;
7) осуществляется обработка ПДн, доступ неограниченного круга лиц, к которым предоставлен субъектом ПДн либо по его просьбе.
4.2 Компания может включать ПДн субъектов в общедоступные источники ПДн, при этом Компания берет письменное согласие субъекта на обработку его ПДн.
4.3 Компания не осуществляет трансграничную передачу ПДн.
4.4 При отсутствии необходимости письменного согласия субъекта на обработку его ПДн согласие может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме.
4.5 При поручении обработки ПДн другому лицу Компания заключает договор (далее — поручение оператора) с этим лицом и получает согласие субъекта ПДн, если иное не предусмотрено федеральным законом. При этом Компания в поручении оператора обязует лицо, осуществляющее обработку ПДн по поручению Компании, соблюдать принципы и правила обработки ПДн, предусмотренные ФЗ «О персональных данных».
4.6 В случаях, когда Компания поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Компания. Лицо, осуществляющее обработку ПДн по поручению Компании, несет ответственность перед Компанией.
4.7 Компания обязуется и обязует иные лица, получившие доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
5. ОБЯЗАННОСТИ КОМПАНИИ
В соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» Компания обязана:
1) предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса субъекта ПДн или его представителя;
2) по требованию субъекта ПДн уточнять, блокировать или удалять обрабатываемые ПДн, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки в срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих эти факты;
3) вести Книгу учета обращений субъектов ПДн, в котором должны фиксироваться запросы субъектов ПДн на получение ПДн, а также факты предоставления ПДн по этим запросам;
4) уведомлять субъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от субъекта ПДн. Исключение составляют следующие случаи:
— субъект ПДн уведомлен об осуществлении обработки Компанией его ПДн;
— ПДн получены Компанией в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн или на основании федерального закона;
— ПДн сделаны общедоступными субъектом ПДн или получены из общедоступного источника;
— Компания осуществляет обработку ПДн для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта ПДн;
— предоставление субъекту ПДн сведений, содержащихся в Уведомлении об обработке ПДн, нарушает права и законные интересы третьих лиц;
5) в случае достижения цели обработки ПДн незамедлительно прекратить обработку ПДн и уничтожить соответствующие ПДн в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Компанией и субъектом ПДн либо если Компания не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных № 152-ФЗ «О персональных данных» или другими федеральными законами;
6) в случае отзыва субъектом ПДн согласия на обработку своих ПДн прекратить обработку ПДн и уничтожить ПДн в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Компанией и субъектом ПДн. Об уничтожении ПДн Компания обязана уведомить субъекта ПДн;
7) в случае поступления требования субъекта ПДн о прекращении обработки ПДн, полученных в целях продвижения товаров, работ, услуг на рынке, немедленно прекратить обработку ПДн.
6. Меры по обеспечению безопасности ПДн при их обработке
6.1 При обработке ПДн Компания применяет необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
6.2 ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПДН ДОСТИГАЕТСЯ СЛЕДУЮЩИМИ МЕРАМИ:
1) определение угроз безопасности ПДн при их обработке в информационных системах ПДн;
2) применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
3) применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
4) оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;
5) учет машинных носителей ПДн;
6) обнаружение фактов несанкционированного доступа к ПДн и принятие мер;
7) восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установление правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в информационной системе ПДн;
9) контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн.
7. ПРАВА СУБЪЕКТА ПДН
В соответствии с ФЗ «О персональных данных» субъект ПДн имеет право:
1) получить сведения, касающиеся обработки ПДн Компанией, а именно:
— подтверждение факта обработки ПДн Компанией;
— правовые основания и цели обработки ПДн Компанией;
— применяемые Компанией способы обработки ПДн;
— наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;
— обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
— сроки обработки ПДн Компанией, в том числе сроки их хранения;
— порядок осуществления субъектом ПДн прав, предусмотренных ФЗ «О персональных данных»;
— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Компании, если обработка поручена или будет поручена такому лицу;
— иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами;
2) потребовать от Компании уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
3) отозвать согласие на обработку ПДн в предусмотренных законом случаях.
8. ПОРЯДОК ОСУЩЕСТВЛЕНИЯ ПРАВ
8.1 Обращение субъекта ПДн к оператору в целях реализации его прав, установленных ФЗ «О персональных данных», осуществляется в письменном виде при личном визите в Компанию субъекта ПДн или его представителя. (Здесь и далее по тексту под субъектами ПДн понимается как сам субъект ПДн, так и его законный представитель: родитель, опекун, попечитель и иные лица, полномочия которых установлены 152-ФЗ либо иным законом Российской Федерации).
8.2 Форма обращения выдается субъекту ПДн или его представителю уполномоченному работнику Компании и заполняется субъектом ПДн или его представителем с проставлением собственноручной подписи в присутствии указанного работника.
8.3 Уполномоченный Работник Компании, получив обращение по установленной форме, сверяет указанные в нем сведения об основном документе, удостоверяющем личность субъекта ПДн, основания, по которым лицо выступает в качестве представителя субъекта ПДн, и представленные при обращении оригиналы данного документа.
8.4 Ответ на обращение отправляется субъекту ПДн в письменном виде по почте на адрес, указанный в обращении.
8.5 Срок формирования ответа и передачи в почтовое отделение для отправки не может превышать тридцати дней с даты получения оператором обращения.
8.6 Срок внесения необходимых изменений в ПДн, являющиеся неполными, неточными или неактуальными, не может превышать семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными.
8.7 Срок уничтожения ПДн, являющихся незаконно полученными или не являющихся необходимыми для заявленной цели обработки, не может превышать семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
9. ОГРАНИЧЕНИЯ ПРАВ СУБЪЕКТОВ ПДН
9.1 Право субъекта ПДн на доступ к своим ПДн ограничивается в случае, если предоставление ПДн нарушает права и законные интересы других лиц.
9.2 В случае если сведения, касающиеся обработки ПДн, а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе направить повторный запрос в целях получения сведений, касающихся обработки ПДн, и ознакомления с такими ПДн не ранее чем через тридцать дней после направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.
9.3 Субъект ПДн вправе направить Компании повторный запрос в целях получения сведений, касающихся обработки ПДн, а также в целях ознакомления с обрабатываемыми ПДн до истечения срока, указанного в п. 9.2 в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального запроса. Повторный запрос должен содержать обоснование направления повторного запроса.