ПОЛИТИКА

ООО «ЖЕМЧУГ»

в ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

(ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ)

(работников, клиентов, контрагентов)

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. «Политика ООО «ЖЕМЧУГ» (далее — Общество) в отношении обработки персональных данных» (далее — Политика) определяет позицию и намерения Общества в области обработки персональных данных, при осуществлении деятельности Общества с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

ООО «ЖЕМЧУГ», ИНН 5610086270, КПП 561001001, ОГРН 1055610010532, юридический адрес: 460000, г. Оренбург, ул. Советская, д.27. Тел +7 (3532) 77-24-44, электронный адрес: jemchug-oren@yandex.ru, является оператором по обработке персональных данных.

Настоящая Политика предоставляет информацию об основных принципах обработки персональных данных и реализуемых требованиях к защите Персональных данных. Политика разработана в соответствии с требованиями федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ 152).

Общество при осуществлении своей деятельности уделяет приоритетное внимание вопросам обеспечения информационной безопасности. В Обществе принят комплекс правовых, организационных и технических мер, направленных на защиту информации о клиентах, работниках и контрагентах и других субъектов персональных данных.

Общество ставит условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Требования и нормы в отношении обработки персональных данных, определённые в Политике обязательны к исполнению всеми сотрудниками Общества.

1.3. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Обществе с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств.

1.4. Настоящая политика является общедоступным документом и подлежит к неограниченному распространению.

1.5 Персональные данные — любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

1.6. Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, установленном законом ФЗ 152.

1.7. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.8. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

1.9. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

2.0. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

2.1. Общество обрабатывает персональные данные следующих лиц:

• работников Общества;

• субъектов, с которыми заключены договоры гражданско-правового характера;

• кандидатов на замещение вакантных должностей Общества;

• клиентов Общества;

• зарегистрированных пользователей сайта Общества;

• представителей юридических лиц — контрагентов Общества.

2.2. Персональные данные, обрабатываемые Обществом:

• данные, полученные при осуществлении трудовых отношений;

• данные, полученные для осуществления отбора кандидатов на работу;

• данные, полученные при осуществлении гражданско-правовых отношений.

2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработка персональных данных в Обществе осуществляется на основе следующих принципов:

1. Обработка Персональных данных осуществляется на законной и справедливой основе.

2. Обработка Персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка Персональных данных, несовместимая с целями сбора Персональных данных.

3. Не допускается объединение баз данных, содержащих Персональных данных, обработка которых осуществляется в целях, несовместимых между собой.

4. Обработке подлежат только Персональные данные, которые отвечают целям их обработки.

5. Содержание и объем обрабатываемых Персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые Персональных данных не должны быть избыточными по отношению к заявленным целям их обработки.

6. При обработке Персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки Персональных данных.

7. Хранение Персональных данных должно осуществляться в форме, позволяющей определить субъекта Персональных данных, не дольше, чем этого требуют цели обработки Персональных данных, если срок хранения Персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект Персональных данных. Обрабатываемые Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено ФЗ-152.

2.2. Все сотрудники Общества, имеющие доступ к персональным данным, должны соблюдать конфиденциальность персональных данных. Конфиденциальность персональных данных — такие условия обработки персональных данных, при которых сотрудники, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

2.3. Общество в лице руководства и сотрудников в пределах своей компетенции обязано обеспечивать безопасность персональных данных при их обработке. Под безопасностью персональных данных Общество понимает защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных и принимает необходимые правовые, организационные и технические меры для защиты персональных данных.

2.4. Общество обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:

• • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

• • обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

• • обработка персональных данных необходима для исполнения договора, стороной которого, либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

• • обработка персональных данных необходима для осуществления прав и законных интересов Общества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

• • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

• • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

2.5. Общество вправе поручить обработку персональных данных граждан третьим лицам, на основании заключаемого с этими лицами договора. Лица, осуществляющие обработку персональных данных по поручению Общества, обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные Федеральным законом №152-ФЗ «О персональных данных». В поручении должны быть определены перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных.

2.6. Общество имеет право передавать/распространять персональные данные субъекта персональных данных для достижения целей и в объеме указанном в согласии субъекта персональных данных на распространение его персональных данных. В случаях, установленных законодательством Российской Федерации, Общество вправе осуществлять передачу персональных данных граждан.

2.7. В целях информационного обеспечения в Общества могут создаваться общедоступные – для внутреннего пользования - источники персональных данных работников, в том числе справочники и адресные книги. В общедоступные источники персональных данных с согласия работника могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты. Сведения о работнике должны быть в любое время исключены из общедоступных источников персональных данных по требованию работника либо по решению суда или иных уполномоченных государственных органов.¹

2.8. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Общество осуществляет обработку Персональных данных для достижения следующих целей:

• Ведение кадрового и бухгалтерского учета;

• Обеспечения соблюдения трудового законодательства РФ;

• Обеспечения соблюдения налогового законодательства;

• Обеспечения соблюдения пенсионного законодательства;

• Обеспечения соблюдения законодательства об обороне;

• Обеспечения соблюдения законодательства РФ о противодействии терроризму;

• Обеспечение соблюдения законодательства РФ о противодействии легализации финансирования терроризма;

• Подготовка, заключение и исполнение гражданско-правовых договоров;

• Обеспечение пропускного режима на территорию Общества;

• Подбор персонала (соискателей) на вакантные должности Общества.

3.2. Обработке подлежат только те персональные данные, которые отвечают целям их обработки.

3.3. Обработка пер персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.

4. Категории субъектов персональных данных

Обрабатываются ПД следующих субъектов ПД:

• Работники общества;

• Родственники работников Общества;

• Бывшие работники Общества;

• Контрагенты Общества (индивидуальные предприниматели, самозанятые физические лица, физические лица, с которыми заключались гражданско-правовые договора или розничные договора купли-продажи);

• Представители контрагентов-юридических лиц (физические лица являющиеся органами управления, материально-ответственными лицами, торговыми представителями контрагента);

• Законные представители Работников Общества, бывших работников Общества;

• Соискатели на вакантные должности Общества;

• Выгодоприобретатели по договорам, заключенным с Обществом;

• Посетители сайта Общества.

5. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка Персональных данных осуществляется в соответствии с целями, заранее определенными и заявленными при сборе Персональных данных, а также полномочиями Общества, определенными действующим законодательством Российской Федерации и договорными отношениями с контрагентами.

5.2. Получение и обработка Персональных данных в случаях, предусмотренных ФЗ-152, осуществляется Обществом с письменного согласия субъекта Персональных данных.

5.3. Согласие на обработку Персональных данных может быть дано субъектом Персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено ФЗ-152.

5.4. Общество вправе обрабатывать Персональных данных без согласия субъекта Персональных данных (или при отзыве субъектом Персональных данных согласия на обработку Персональных данных) при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2, 3 статьи 10 и части 2 статьи 11 ФЗ-152, с учетом особенностей установленных статьей 10.1 закона ФЗ-152.

5.5. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Обществом не осуществляется.

5.6. Обработка сведений о состоянии здоровья осуществляется в соответствии с Трудовым кодексом РФ, Федеральным законом «Об обязательном медицинском страховании в РФ», требованиями Роспотребнадзора, а также п.2.3 ч.2 ст.10 ФЗ-152;

5.7. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические Персональных данных), могут обрабатываться только при наличии согласия в письменной форме субъекта Персональных данных, после соответствующего уведомления Роскомнадзора о начале обработки таких данных.

5.8. Персональные данные субъекта могут быть получены Обществом от лица, не являющегося субъектом Персональных данных, при условии предоставления в подтверждения наличия оснований, указанных в п.п. 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 ФЗ -152 или иных оснований, предусмотренных федеральным законодательством.

5.9. Право доступа к Персональным данным субъектов Персональных данных на бумажных и электронных носителях имеют работники Общества в соответствии с их должностными обязанностями и установленными правами доступа.

5.10. Передача Персональных данных третьим лицам осуществляется Обществом в соответствии с требованиями действующего законодательства, при условии получения отдельного согласия от субъекта персональных данных, за исключением случаев прямо указанных в федеральном законе ФЗ-152, соблюдением особенностей передачи (распространении) данных в статье 10.1 закона ФЗ-152.

5.11. Обработка персональных данных в целях продвижения розничных услуг на рынке (работа по заключению договора гражданско-правового характера) путем осуществления прямых контактов с потенциальным клиентами с помощью средств связи допускается только при условии предварительного согласия субъекта Персональных данных.

5.12. Передача персональных данных потенциальных покупателей, держателей дисконтных карт Общества для осуществления рассылки сообщений возможна только в обезличенном виде с согласия субъекта персональных данных.

5.13. Общество принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

• определяет угрозы безопасности персональных данных при их обработке;

• принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;

• проводит аудит системы защиты и обработки персональных данных;

• назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Общества;

• создает необходимые условия для работы с персональными данными;

• организует учет документов, содержащих персональные данные;

• организует работу с информационными системами, в которых обрабатываются персональные данные;

• хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;

• организует обучение работников Общества, осуществляющих обработку персональных данных.

5.14. При сборе персональных данных, в том числе посредством информационно телекоммуникационной сети интернет, Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных физических лиц с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.

5.15. Хранение персональных данных:

5.15.1. Персональные данные субъектов могут обрабатываться, хранится как на бумажных носителях, так и в информационной системе Общества.

5.15.2. Персональные данные на бумажных носителях хранятся в запираемых помещениях с ограниченным правом доступа, либо в запираемых металлических шкафах.

5.15.3. Программными средствами устанавливаются различные права пользователей – работников общества к персональным данным, обрабатываемым в информационной системе Общества.

5.15.4. Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

6. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Субъект Персональных данных вправе требовать от Общества уточнения его Персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.2. Субъект Персональных данных имеет право на получение информации, касающейся обработки его Персональных данных, в том числе содержащей:

• подтверждение факта обработки Персональных данных Обществом;

• правовые основания и цели обработки Персональных данных;

• цели и применяемые способы обработки Персональных данных;

• наименование и место нахождения Общества, сведения о лицах (за исключением работников ООО «ЖЕМЧУГ»), которые имеют доступ к Персональным данным, или которым могут быть раскрыты на основании договора с Обществом или на основании ФЗ-152;

• обрабатываемые Персональные данные, относящиеся к соответствующему субъекту Персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен ФЗ-152;

• сроки обработки Персональных данных, в том числе сроки их хранения;

• порядок осуществления субъектом Персональных данных прав, предусмотренных ФЗ-152;

• информацию о ранее осуществленной или о предполагаемой трансграничной передаче Персональных данных;

• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку Персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;

• иные сведения, предусмотренные ФЗ-152 или другими федеральными законами.

6.3. ООО «ЖЕМЧУГ» обязано немедленно прекратить по требованию субъекта Персональных данных обработку его Персональных данных, или распространение его персональных данных.

6.4. Если субъект Персональных данных считает, что ООО «ЖЕМЧУГ» осуществляет обработку его Персональных данных с нарушением требований ФЗ-152 или иным образом нарушает его права и свободы, субъект Персональных данных вправе обжаловать действия или бездействие ООО «ЖЕМЧУГ» в уполномоченный орган по защите прав субъектов Персональных данных или в судебном порядке.

6.5. Субъект Персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

7. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Общество при обработке Персональных данных принимает необходимые правовые, организационные и технические меры, или обеспечивает их принятие для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении Персональных данных.

7.2. Меры по обеспечению безопасности Персональных данных при их обработке, применяемые Обществом, планируются и реализуются в целях обеспечения соответствия требованиям, приведенным в статье 19 ФЗ-152.

7.3. В соответствии со статьям 18, 18.1 ФЗ-152 Общество самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения требований законодательства, в частности приняло следующие меры:

• назначен ответственный за организацию обработки Персональных данных;

• разработаны и внедрены локальные акты по вопросам обработки Персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений установленных процедур по обработке Персональных данных и устранение последствий таких нарушений;

• применяются правовые, организационные и технические меры по обеспечению безопасности Персональных данных в соответствии со статьей 19 ФЗ-152;

• осуществляется внутренний контроль и аудит соответствия обработки Персональных данных ФЗ-152 и принятым в соответствии с ним нормативным правовым актам, требованиям к защите Персональных данных;

• осуществляется оценка вреда в соответствии с требованиями Роскомнадзора, Правительства РФ, который может быть причинён субъектам персональных данных в случае нарушения установленных Законом требований, соотношение указанного вреда и принимаемым Обществам мерам, направленным на обеспечение выполнения обязанностей, предусмотренных законом ФЗ-152;

• работники ООО «ЖЕМЧУГ», непосредственно осуществляющие обработку Персональных данных, ознакомлены с положениями законодательства Российской Федерации о Персональных данных, в том числе требованиями к защите Персональных данных, документами, определяющими политику ООО «ЖЕМЧУГ» в отношении обработки Персональных данных, локальными актами по вопросам обработки Персональных данных;

• устанавливаются правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

• применяется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

7.4. В дополнение к требованиям ФЗ-152, в ООО «ЖЕМЧУГ» осуществляется комплекс мероприятий, направленных на защиту информации о своих клиентах, сотрудниках и контрагентах. ООО «ЖЕМЧУГ» руководствуется требованиями и рекомендациями действующего законодательства Российской Федерации, ФСФР России, других регулирующих организаций, а также лучшими российскими и международными практиками.

7.5. Общество имеет право вносить изменения в настоящую Политику в любое время в одностороннем порядке. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено приказом по Обществу о введении в действие новой редакцией Политики.

8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

8.1. Ответственность за нарушение требований законодательства Российской Федерации и нормативных документов ООО «Альфа» в области персональных данных определяется в соответствии с законодательством Российской Федерации.

8.2. Субъект персональных данных может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Обществу с помощью электронной почты jemchug-oren@yandex.ru.

8.3. Настоящая Политика вступает в силу с момента утверждения и действует бессрочно до принятия новой Политики.

8.4. Актуальная версия Политики в свободном доступе расположена в сети Интернет на сайтах Общества: www.shop-zhemchug56.ru, жемчуг56.рф