Политика защиты и обработки персональных данных
- Общие положения
- Настоящая Политика в отношении обработки персональных данных
(далее – Политика) составлена в соответствии с пунктом 2 статьи 18.1
Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 г., а
также иными нормативными правовыми актами Российской Федерации в области
защиты и обработки персональных данных и действует в отношении всех
персональных данных (далее – данные), которые Организация (далее – Оператор,
Общество) может получить от субъекта персональных данных, являющегося
стороной по гражданско-правовому договору, от пользователя сети Интернет
(далее – Пользователь) во время использования им любого из сайтов, сервисов,
служб, программ, продуктов или услуг Оператора, а также от субъекта
персональных данных, состоящего с Оператором в отношениях, регулируемых
трудовым законодательством (далее – Работник).
-
Оператор обеспечивает защиту обрабатываемых персональных данных
от несанкционированного доступа и разглашения, неправомерного использования
или утраты в соответствии с требованиями Федерального закона от 27 июля 2006
г. № 152-ФЗ «О персональных данных».
-
Оператор вправе вносить изменения в настоящую Политику. При
внесении изменений в заголовке Политики указывается дата последнего
обновления редакции. Новая редакция Политики вступает в силу с момента ее
размещения на сайте, если иное не предусмотрено новой редакцией Политики.
- Термины и принятые сокращения
- Персональные данные – любая информация, относящаяся прямо или
косвенно к определенному или определяемому физическому лицу (субъекту
персональных данных).
- Обработка персональных данных – любое действие (операция) или
совокупность действий (операций), совершаемых с использованием средств
автоматизации или без использования таких средств с персональными данными,
включая сбор, запись, систематизацию, накопление, хранение, уточнение
(обновление, изменение), извлечение, использование, передачу
(распространение, предоставление, доступ), обезличивание, блокирование,
удаление, уничтожение персональных данных.
- Автоматизированная обработка персональных данных – обработка
персональных данных с помощью средств вычислительной техники.
- Информационная система персональных данных (ИСПД) – совокупность
содержащихся в базах данных персональных данных и обеспечивающих их
обработку информационных технологий и технических средств.
- Персональные данные, сделанные общедоступными субъектом
персональных данных, – персональные данные, доступ неограниченного круга лиц
к которым предоставлен субъектом персональных данных либо по его просьбе.
- Блокирование персональных данных – временное прекращение обработки
персональных данных (за исключением случаев, если обработка необходима для
уточнения персональных данных).
- Уничтожение персональных данных – действия, в результате которых
становится невозможным восстановить содержание персональных данных в
информационной системе персональных данных и (или) в результате которых
уничтожаются материальные носители персональных данных.
- Оператор – организация, самостоятельно или совместно с другими лицами
организующая обработку персональных данных, а также определяющая цели
обработки персональных данных, подлежащих обработке, действия (операции),
совершаемые с персональными данными. Оператором является
Интернет-магазин «Трусишка» (ИП Иванова Елена Витальевна),
расположенный по адресу: 620146, г. Екатеринбург, проезд Решетникова 22А, оф. 406.
-
Обработка персональных данных
- Все персональные данные следует получать от самого субъекта. Если
персональные данные субъекта можно получить только у третьей стороны, то
субъект должен быть уведомлен об этом или от него должно быть получено
согласие.
- Обработка персональных данных
- Обработка персональных данных осуществляется:
- с согласия субъекта персональных данных на обработку его персональных
данных;
- в случаях, когда обработка персональных данных необходима для
осуществления и выполнения возложенных законодательством РФ функций,
полномочий и обязанностей;
- в случаях, когда осуществляется обработка персональных данных, доступ
неограниченного круга лиц к которым предоставлен субъектом персональных
данных либо по его просьбе (далее – персональные данные, сделанные
общедоступными субъектом персональных данных).
- Цели обработки персональных данных:
- осуществление трудовых отношений;
- осуществление гражданско-правовых отношений;
- для идентификации пользователей (посетителей) сайта интернет-магазина,
для связи с пользователем, в том числе направление уведомлений, запросов и
информации, касающихся использования сайта магазина, исполнения соглашений
и договоров, а также обработки запросов и заявок от пользователя;
- обезличивания персональных данных для получения обезличенных
статистических данных, которые передаются третьему лицу для проведения
исследований, выполнения работ или оказания услуг по поручению магазина.
-
Обрабатываются персональные данные следующих субъектов персональных
данных:
- физические лица, состоящие с Оператором в трудовых отношениях;
- физические лица, уволившиеся;
- физические лица, являющиеся кандидатами на работу;
- физические лица, состоящие в гражданско-правовых отношениях;
- физические лица, являющиеся пользователями сайта магазина.
-
Персональные данные, обрабатываемые Оператором:
- данные, полученные при осуществлении трудовых отношений;
- данные, полученные для осуществления отбора кандидатов на работу;
- данные, полученные при осуществлении гражданско-правовых отношений;
- данные, полученные от пользователей сайта магазина.
-
Обработка персональных данных ведется с использованием
и без использования средств автоматизации.
- Хранение персональных данных
- Персональные данные субъектов могут быть получены, проходить
дальнейшую обработку и передаваться на хранение как на бумажных носителях,
так и в электронном виде.
- Персональные данные, зафиксированные на бумажных носителях,
хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным
правом доступа.
- Персональные данные субъектов, обрабатываемые с использованием
средств автоматизации в разных целях, хранятся в разных папках.
- Не допускается хранение и размещение документов, содержащих
персональных данных, в открытых электронных каталогах (файлообменниках) в
ИСПД.
- Хранение персональных данных в форме, позволяющей определить
субъект персональных данных, осуществляется не дольше, чем этого требуют
цели их обработки, и они подлежат уничтожению по достижении целей обработки
или в случае утраты необходимости в их достижении.
- Уничтожение персональных данных.
- Уничтожение документов (носителей), содержащих персональных
данных, производится путем сожжения, дробления (измельчения), химического
разложения, превращения в бесформенную массу или порошок. Для уничтожения
бумажных документов допускается применение шредера.
- Персональные данные на электронных носителях уничтожаются путем
стирания или форматирования носителя.
- Факт уничтожения персональных данных подтверждается
документально актом об уничтожении носителей.
- Защита персональных данных
- В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
- Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
- Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
- Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.
- Основными мерами защиты персональных данных, используемыми Оператором, являются:
- Назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите персональных данных.
- Определение актуальных угроз безопасности персональных данных при их обработке в ИСПД и разработка мер и мероприятий по защите персональных данных.
- Разработка политики в отношении обработки персональных данных.
- Установление правил доступа к персональным данным, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в ИСПД.
- Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.
- Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
- Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
- Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.
- Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
- Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
- Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.
- Осуществление внутреннего контроля и аудита.
-
Основные права субъекта персональных данных и обязанности Оператора
- Основные права субъекта персональных данных.
Субъект имеет право на доступ к его персональным данным и следующим сведениям:
- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Оператором способы обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональных данных или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
- наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- обращение к Оператору и направление ему запросов;
- обжалование действий или бездействия Оператора.
-
Оператор обязан:
- при сборе персональных данных предоставить информацию об обработке персональных данных;
- в случаях если персональные данные были получены не от субъекта персональных данных, уведомить субъект;
- при отказе в предоставлении персональных данных субъекту разъясняются последствия такого отказа;
- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.