Политика в отношении обработки и защиты персональных данных ООО «ДЕЛИС-МЕБЕЛЬ»
ПОЛИТИКА
В ОТНОШЕНИИ обработки и защиты персональных данных
ООО «ДЕЛИС-МЕБЕЛЬ»
1. Общие положения
1.1. Политика в отношении обработки и защиты персональных данных ООО «ДЕЛИС-МЕБЕЛЬ» (далее – Политика) разработана в соответствии с п. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» (далее – Закон о персональных данных), действует в отношении всех персональных данных, которые ООО «ДЕЛИС-МЕБЕЛЬ» (далее – Общество) может получить в отношение субъектов персональных данных.
1.2. Настоящая политика реализует основную цель Федерального закона от 27 июля 2006г. №152-ФЗ «О персональных данных», которая заключается в обеспечении защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Настоящая Политика определяет принципы обработки персональных данных; правовые основы обработки персональных данных, права субъектов персональных данных и иные положения, касающиеся обработки персональных данных в Обществе.
1.4. Настоящей Политикой установлены меры по обеспечению защиты персональных данных.
1.5. В целях обеспечения неограниченного доступа к настоящей Политике документ размещается на информационных стендах в офисе(ах), в том числе – на территории обособленных подразделений/филиалов/представительств, и/или на сайте Общества – в случае его наличия (создания). На сайте Общества могут быть размещены ссылки на сторонние сайты и службы, которые не контролируются Обществом, который не несет ответственности за безопасность или конфиденциальность любой информации, собираемой сторонними сайтами или службами.
1.6. В целях реализации положений настоящей Политики в Обществе разработан и утвержден комплекс локальных нормативных актов, изданы организационно-распорядительные документы.
2. Состав субъектов и категории персональных данных
2.1. Общество обрабатывает персональные данные следующих субъектов:
· работников, соискателей, родственников работников в случаях, установленных законом;
· контрагентов;
· участников Общества.
2.2. Категории, обрабатываемых персональных данных, вытекают из законодательства Российской Федерации, применяемого в том числе с целью реализации трудовых отношений и иного законодательства Российской Федерации, гражданско-правовых норм, заключаемых гражданско-правовых договоров.
2.3. Состав (перечень) персональных данных, обрабатываемых Обществом, определяется в соответствии с законодательством РФ и локальными нормативными актами Общества с учетом целей обработки персональных данных, указанных в настоящей Политике, с учетом следующего:
1) Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни в Обществе не осуществляется.
2) Обработка данных о состоянии здоровья субъектов персональных данных осуществляется в соответствии с п. 2 ст. 10 Закон о персональных данных.
3) Биометрические персональные данные в Организации не обрабатываются.
3. Правовые основания обработки персональных данных
3.1. Общество осуществляет обработку персональных данных на основании действующего законодательства Российской Федерации. При этом учитываются нормы:
- Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» (далее – Закон о персональных данных);
- Гражданского кодекса Российской Федерации;
- Трудового кодекса Российской Федерации;
- Налогового кодекса Российской Федерации;
- Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» (далее – Закон о персональных данных);
- Федерального закона от 1 апреля 1996 г. №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Федеральным законом от 29.12.2006 № 255-ФЗ "Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
- Федерального закона от 02 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
- Постановления Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
- Постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановления Правительства РФ от 01.11.2012 N 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Регламентирующих документов ФСТЭК России и ФСБ России об обеспечении безопасности персональных данных;
- Иных нормативных правовых актов.
4. Принципы обработки персональных данных
4.1. Обработка персональных данных в Обществе осуществляется на основе следующих принципов:
1. Обработка персональных данных осуществляется на законной и справедливой основе.
2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5. Цели обработки персональных данных
5.1. Общество осуществляет обработку персональных данных в следующих целях:
· обеспечение соблюдения Конституции РФ, законодательных и иных нормативных актов РФ, локальных нормативных актов Общества;
· осуществление предпринимательской деятельности, предусмотренной уставом Общества;
· для заключения и выполнения условий заключаемых сделок;
· для достижения целей и задач, предусмотренных Трудовым и иным законодательством Российской Федерации, защиты жизненно важных и/или законных интересов работников и иных лиц:
· обеспечение законных прав и интересов Общества при ведении предпринимательской деятельности или третьих лиц, либо достижения общественно значимых целей,
· в иных законных целях, -
в том числе:
➢ защиты жизни, здоровья и иных жизненно важных интересов субъектов персональных данных;
➢ осуществление функций, полномочий и обязанностей, возложенных законодательством РФ на Общество, в том числе по предоставлению персональных данных в рамках исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение; в фонд социального страхования, в другие уполномоченные органы, в рамках обеспечения иных видов социального обеспечения;
➢ исполнение судебных актов, актов уполномоченных органов и/или должностных лиц, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;
➢ проведение корпоративных процедур и организации (реализации) корпоративного контроля и/или получения корпоративных одобрений;
➢ проявление должной осмотрительности при выборе клиентов, контрагентов для сотрудничества;
➢ ведение переговоров, согласование, заключение, исполнение, изменение, прекращение гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в связи с осуществлением хозяйственной деятельности Общества;
➢ оценка претендентов на замещение вакантных кадровых должностей - при приеме на работу; для формирования кадрового резерва;
➢ оформление трудовых отношений;
➢ исполнение обязательств по трудовым и гражданско-правовым договорам;
➢ ведение кадрового делопроизводства;
➢ содействие работникам в обучении (повышении квалификации, переквалификации) и продвижении по службе; обеспечение личной безопасности и защиты сотрудников; контроль выполнения трудовых (должностных) обязанностей (функций), количества и качества выполняемой работы;
➢ работа с обращениями и заявлениями граждан.
5.2. С согласия субъекта персональных данных, Общество может использовать персональные данные в следующих целях:
ü для связи с клиентами и контрагентами в случае необходимости, в том числе для направления уведомлений, информации и запросов, связанных с оказанием услуг, а также обработки заявлений, запросов и заявок клиентов;
ü для улучшения качества услуг, оказываемых Обществом;
ü для продвижения услуг на рынке путем осуществления прямых контактов с клиентами и контрагентами;
ü для проведения статистических и иных исследований на основе обезличенных персональных данных.
6. Условия обработки персональных данных
6.1.Обработка персональных данных Оператором осуществляется следующими способами:
Ø неавтоматизированная обработка персональных данных;
Ø автоматизированная обработка персональных данных без передачи полученной информации;
Ø смешанная обработка персональных данных.
6.2. Перечень действий, совершаемых Оператором с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение, а также осуществление любых иных действий в соответствии с действующим законодательством РФ.
6.3. Обработка персональных данных допускается и предполагается с согласия субъекта персональных данных на обработку его персональных данных, а также независимо от его наличия в следующих случаях:
1) для исполнения договоров, стороной которых или выгодоприобретателем по которым является субъект персональных данных;
2) для осуществления прав и законных интересов Общества или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
3) для достижения целей и задач, предусмотренных трудовым и иным законодательством Российской Федерации, защиты жизненно важных и/или законных интересов работников и иных лиц;
4) для осуществления прав и законных интересов оператора или третьих лиц;
5) для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
6) в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
7) для обработки персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
8) для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
9) для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
10) в отношение персональных данных, сделанных общедоступными субъектом персональных данных;
11) в отношение обработки персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
12) в иных целях, предусмотренных законодательством РФ.
6.4. Внутренняя воля при передаче персональных данных оператору в целях обработки может выражаться следующими способами:
ü прямой (непосредственный) - совершается в устной форме или письменной форме;
ü косвенный, который имеет место в случаях, когда субъект, намеревающийся передать свои персональные данные, совершает требующиеся от него действия без предварительного уведомления оператора о своем решении (в форме конклюдентных действий).
6.5. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью в соответствии с федеральным законом
6.6. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия субъекта персональных данных в письменной форме.
6.7. Доступ к обрабатываемым в Обществе персональным данным разрешается работникам Общества, занимающим должности, при замещении которых осуществляется обработка персональных данных, - в объеме, необходимом для выполнения ими должностных обязанностей.
6.8. Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных. Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством РФ, без необходимости получать согласие субъекта персональных данных на обработку его персональных данных.
7. Передача персональных данных
7.1. Общество не предоставляет и не раскрывает сведения, содержащие персональные данные работников, клиентов и контрагентов, третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.
7.2. По мотивированному запросу, а также для выполнения возложенных законодательством функций и полномочий персональные данные субъекта персональных данных без его согласия могут быть переданы в:
- правоохранительные органы;
- налоговые органы;
- судебные органы;
- отделения Пенсионного фонда РФ;
- отделения Фонда социального страхования;
- отделения Фонда обязательного медицинского страхования;
- федеральную инспекцию труда;
- военкоматы;
- иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.
7.3. Работники Общества, осуществляющие обработку персональных данных, не отвечают на вопросы, связанные с передачей персональных данных по телефону или факсу.
8. Сроки обработки и хранения персональных данных
8.1. Период обработки и хранения персональных данных определяется в соответствии с Законом о персональных данных.
8.2. Обработка персональных данных начинается с момента поступления персональных данных в Общество и прекращается:
ü в случае выявления неправомерных действий с персональными данными. При этом Общество устраняет допущенные нарушения в срок, не превышающий трех рабочих дней с даты такого выявления. В случае невозможности устранения допущенных нарушений, Общество, в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, уничтожает персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Общество уведомляет субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, Общество уведомляет также указанный орган;
ü в случае достижения цели обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. При этом Общество незамедлительно прекращает обработку персональных данных и уничтожает соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, и уведомляет об этом субъекта персональных данных или его законного представителя;
ü в случае отзыва субъектом персональных данных согласия на обработку его персональных данных и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных. При этом Общество прекращает обработку персональных данных, уничтожает персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва. Об уничтожении персональных данных Общество уведомляет субъекта персональных данных;
ü в случае прекращения деятельности Общества.
8.3. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
8.4. В случае получения согласия клиента (или контрагента) на обработку персональных данных в целях продвижения услуг Общества на рынке путем осуществления прямых контактов с помощью средств связи, данные клиента (или контрагента) хранятся бессрочно (до отзыва субъектом персональных данных согласия на обработку его персональных).
9. Уничтожения персональных данных
9.1. Персональные данные подлежат уничтожению в связи с достижением целей обработки или утраты необходимости в их достижении по истечении сроков хранения.
9.2. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
9.3. Ответственным за уничтожение персональных данных является лицо, ответственное за организацию обработки персональных данных.
9.4. При наступлении любого из событий, повлекших необходимость уничтожения персональных данных, лицо, ответственное за организацию обработки персональных данных обязано:
- принять меры к уничтожению персональных данных;
- оформить соответствующий Акт об уничтожении персональных данных (и/или материальных носителей персональных данных) и представить Акт об уничтожении персональных данных (и/или материальных носителей персональных данных) на утверждение руководителю;
- в случае необходимости уведомить об уничтожении персональных данных субъекта персональных данных и/или уполномоченный орган.
10. Права субъектов персональных данных
10.1. Субъект персональных данных вправе:
- требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- требовать перечень своих персональных данных, обрабатываемых Обществом и информацию об источнике их получения;
- получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
10.2. Для реализации вышеуказанных прав субъект персональных данных, может в порядке, установленном ст.14 Закона о персональных данных, обратиться в Общество с соответствующим запросом. Для выполнения таких запросов представитель Общества устанавливает личность субъекта персональных данных и при необходимости запрашивает дополнительную информацию.
10.3. Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований законодательства о персональных данных или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Общества в порядке, предусмотренном законодательством Российской Федерации.
11. Меры по обеспечению защиты персональных данных
11.1. Защите подлежат:
- персональные данные, содержащиеся в копиях документов;
- персональные данные, содержащиеся в документах, созданных Обществом;
- персональные данные, занесенные в учетные формы;
- записи, содержащие персональные данные;
- персональные данные, содержащиеся на электронных носителях;
- персональные данные, содержащиеся в информационных системах.
11.2. Общество гарантирует обеспечение необходимых и достаточных мер против незаконной или несанкционированной обработки персональных данных, недопущения их утраты, повреждения, незаконных использования, доступа, разглашения, неправомерного изменения, уничтожения и других действий, которые могут нанести вред субъекту персональных данных, для чего реализует необходимый комплекс организационных технических и технических мер безопасности персональных данных, основанных на требованиях ст. 18.1, ст.19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и соответствующих 4 уровню защищенности.
11.3. В случае поручения обработки персональных данных третьим лицам Мы требуем, чтобы соответствующий получатель персональных данных обеспечил адекватный уровень защиты данных в рамках действующего Федерального закона «О персональных данных» путем заключения договора или иным законным образом. Мы будем проводить надлежащую проверку получателя, и при заключении договора включать в него условия об обязательном соблюдении адекватных технических и организационных мер защиты и обеспечения безопасности передаваемых персональных данных и отказе от использования этих данных в иных целях.
11.4. Защита персональных данных (далее также – ПДн) должна осуществляться в соответствии со следующими основными принципами:
ü законность — предполагает обеспечение защиты ПДн в соответствии с действующим в РФ законодательством и нормативными актами в области защиты ПДн. Сотрудники должны быть осведомлены о правилах и порядке работы с защищаемой информацией и об ответственности за их нарушение;
ü системность — предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности ПДн;
ü комплексность — предполагает согласованное применение разнородных средств и систем при построении комплексной системы защиты информации, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов;
ü совершенствование — предполагает по мере необходимости совершенствование мер и средств защиты информации на основе комплексного применения организационных и технических решений, квалификации персонала, анализа функционирования ИСПДн и ее системы защиты с учетом изменений условий функционирования ИСПДн, появления новых методов и средств перехвата информации, изменений требований нормативных документов по защите ПДн;
ü персональная ответственность — предполагает возложение ответственности за обеспечение безопасности ПДн на каждого исполнителя в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей исполнителей строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму;
ü минимальная достаточность — предполагает предоставление исполнителям минимально необходимых прав доступа к ресурсам ИСПДн в соответствии с производственной необходимостью, на основе принципа «запрещено все, что не разрешено явным образом»;
ü гибкость системы защиты — предполагает наличие возможности варьирования уровнем защищенности при изменении условий функционирования ИСПДн;
ü обязательность контроля — предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности ПДн на основе используемых систем и средств защиты информации.
11.5. Общество разрабатывает и утверждает документы, определяющие политику Общества в отношении обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
11.6. Общество разрабатывает и внедряет локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений установленных процедур по обработке персональных данных и устранение последствий таких нарушений;
11.7. Работники Общества, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены с положениями законодательства Российской Федерации об обработке персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Общества в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.
12. Гарантии конфиденциальности
12.1. Информация, относящаяся к персональным данным, ставшая известной в связи с реализацией трудовых отношений, в связи с оказанием услуг клиентам Общества и в связи с сотрудничеством с контрагентами Общества, является конфиденциальной информацией и охраняется законом.
12.2. Работники Общества и иные лица, получившие доступ к обрабатываемым персональным данным, предупреждаются о возможной дисциплинарной, административной, гражданско–правовой или уголовной ответственности в случае нарушения норм и требований действующего законодательства, регулирующего правила обработки и защиты персональных данных.
12.3. Работники Общества, по вине которых произошло нарушение конфиденциальности персональных данных, и работники, создавшие предпосылки к нарушению конфиденциальности персональных данных, несут ответственность, предусмотренную действующим законодательством Российской Федерации, внутренними документами Общества и условиями трудового договора.
13. Изменения настоящей Политики
13.1. Настоящая Политика подлежит изменению, дополнению в случае изменения законов и иных нормативных правовых актов в сфере обработки и защиты персональных данных. В случае внесения в настоящую Политику изменений, к ним будет обеспечен неограниченный доступ всем заинтересованным лицам.