Политика обработки персональных данных

ПОЛИТИКА в отношении обработки персональных данных ООО «ЭкоПан-НОВОСИБИРСК»

1.Общие положения

1.1.Настоящая Политика в отношении обработки персональных данных (далее – «Политика») подготовлена в соответствии с п. 2 ч .1 ст. 18.1 Федерального закона Российской Федерации «О персональных данных» No152-ФЗ от 27 июля 2006 года (далее – «Закон») и определяет позицию ООО " ЭкоПан-НОВОСИБИРСК" (далее – «Компания») в области обработки и защиты персональных данных (далее – «Данные»), соблюдения прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну.

2.Область применения

2.1. Настоящая Политика распространяется на Данные, полученные как до, так и после ввода в действие настоящей Политики.

2.2.Понимая важность и ценность Данных, а также заботясь о соблюдении конституционных прав граждан Российской Федерации и граждан других государств, Компания обеспечивает надежную защиту Данных.

3.Определения

3.1.Под Данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (гражданину), т.е. к такой информации, в частности, относятся: ФИО, номер телефона, адрес электронной почты для связи, а также другая информация.

3.2.Под обработкой Данных понимается любое действие (операция) или совокупность действий (операций) с Данными, совершаемых с использованием средств автоматизации и/или без использования таких средств. К таким действиям (операциям) относятся: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Данных.

3.3.Под безопасностью Данных понимается защищенность Данных от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Данных, а также от иных неправомерных действий в отношении Данных.

4.Правовые основания и цели обработки Данных

4.1.Обработка и обеспечение безопасности Данных в Компании осуществляется в

соответствии с требованиями Конституции Российской Федерации, Закона, Трудового кодекса Российской Федерации, подзаконных актов, других определяющих случаи и особенности обработки Данных федеральных законов Российской Федерации, руководящих и методических документов ФСТЭК России и ФСБ России.

4.2.Субъектами Данных, обрабатываемых Компанией, являются:

работники Компании, родственники работников Компании, в пределах определяемых законодательством Российской Федерации, если сведения о них предоставляются работником;

лица, входящие в органы управления Компании и не являющимися работниками;

физические лица, с которыми Компанией заключаются договоры гражданско-правового характера;

представители юридических лиц – контрагентов Компании;

участники бонусных программ лояльности;

клиенты – потребители, в т.ч. посетители сайта, принадлежащего Компании: http://www.ecopan.nsk.ru/ (далее – «Сайт») в том числе с целью оформления заказа на Сайте с последующей доставкой клиенту, получатели услуг по доставке;

физические лица, Данные которых обрабатываются в интересах третьих лиц – операторов Данных на основании договора (поручения операторов Данных);

2

4.3. Компания осуществляет обработку Данных субъектов в следующих целях:

осуществления возложенных на Компанию законодательством Российской Федерации функций, полномочий и обязанностей в соответствии с федеральными законами, в том числе, но не ограничиваясь: Гражданским кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Семейным кодексом Российской Федерации, Федеральным законом от 01.04.1996 г. No 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральным законом от 27.07.2006 г. No 152-ФЗ «О персональных данных», Федеральным законом от 28.03.1998 г. No 53-ФЗ «О воинской обязанности и военной службе», Федеральным законом от 26.02.1997 г. No 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации», Федеральным законом от 8.02.1998 г. No14-ФЗ «Об

обществах с ограниченной ответственностью», Федеральным законом от 07.02.1992 No2300-1 «О защите прав потребителей», Федеральным законом от 21.11.1996 г. No 129-ФЗ «О бухгалтерском учете», Федеральным законом от 29.11.2010 г. No 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», а также операторами Данных, уставом и локальными актами Компании.

Работников в целях:

соблюдения трудового, налогового и пенсионного законодательства Российской Федерации, а именно:

o содействия работникам в трудоустройстве, обучении и продвижении по службе;

o расчета и начисления заработной платы;

o организация деловых поездок (командировок) работников;

o оформления доверенностей (в том числе для представления интересов Компании перед третьими лицами);

o обеспечения личной безопасности работников; o контроля количества и качества выполняемой работы; o обеспечения сохранности имущества; o соблюдения пропускного режима в помещениях Компании; o учета рабочего времени;

o пользования различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, а также Уставом и нормативными актами Компании;

o добровольного страхования жизни, здоровья и/или от несчастных случаев.

Кандидатов на вакантные должности в целях:

принятия решения о возможности заключения трудового договора с лицами, претендующими на открытые вакансии;

Лиц, входящих в органы управления Компании, не являющихся работниками, в целях:

выполнения требований, предусмотренных законодательством, в т.ч. обязательное раскрытие информации, аудит, проверка возможности совершения сделок, в том числе сделок с заинтересованностью и/или крупных сделок.

Контрагентов-физических лиц в целях:

заключения и исполнения договора, одной из сторон которого является физическое лицо;

рассмотрения возможностей дальнейшего сотрудничества.

Представителей юридических лиц – контрагентов Компании в целях:

ведения переговоров, заключение и исполнение договоров, по которым предоставляются Данные работников такого юридического лица для целей исполнения договора по различным направлениям хозяйственной деятельности Компании.

Физических лиц, Данные которых обрабатываются в интересах третьих лиц – операторов Данных на основании договора (поручения операторов Данных) в целях:

исполнения договоров – поручений операторов Данных; Родственников работников Компании в целях:

исполнения требований законодательства Российской Федерации;

предоставления дополнительных льгот;

3

участия в корпоративных мероприятиях. Участников бонусных программ лояльности в целях:

предоставления информации по товарам, проходящим акциям, состоянию лицевого счета;

идентификация участника в программе лояльности; обеспечение процедуры учета накопления и использования бонусов;

исполнения Компанией обязательств по программе лояльности. Клиентов – потребителей в целях:

предоставления информации по товарам/услугам, проходящим акциям и специальным предложениям;

анализа качества предоставляемого Компанией сервиса и улучшению качества обслуживания клиентов Компании;

информирования о статусе заказа;

исполнения договора, в т.ч. договора купли-продажи, в.т.ч. заключенного дистанционным способом на Сайте, возмездного оказания услуг;

предоставления услуг по установке и подключению бытовой техники, а также учета оказанных потребителям услуг для осуществления взаиморасчетов;

доставки заказанного товара клиенту, совершившему заказ на Сайте, возврата товара. 5.Принципы и условия обработки Данных 5.1.При обработке Данных Компания придерживается следующих принципов:

обработка Данных осуществляется на законной и справедливой основе;

Данные не раскрываются третьим лицам и не распространяются без согласия субъекта Данных, за исключением случаев, требующих раскрытия Данных по запросу уполномоченных государственных органов, судопроизводства;

определение конкретных законных целей до начала обработки (в т.ч. сбора) Данных;

ведется сбор только тех Данных, которые являются необходимыми и достаточными для заявленной цели обработки;

объединение баз данных, содержащих Данные, обработка которых осуществляется в целях, несовместимых между собой не допускается;

обработка Данных ограничивается достижением конкретных, заранее определенных и законных целей;

обрабатываемые Данные подлежат уничтожению или обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4

5.2. Компания может включать Данные субъектов в общедоступные источники Данных, при этом Компания берет письменное согласие субъекта на обработку его Данных.

5.3. Компания не осуществляет обработку Данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах.

5.4. Компания может осуществлять обработку данных о состоянии здоровья субъекта Данных в следующих случаях:

1) в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;

2) для защиты жизни, здоровья или иных жизненно важных интересов работника либо для защиты жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта Данных невозможно;

3) для установления или осуществления прав работника или третьих лиц, а равно и в связи с осуществлением правосудия;

4) в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

5.5. Биометрические Данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта Данные) в Компании не обрабатываются.

5.6. Компания не осуществляет трансграничную передачу Данных.

5.7. В случаях, установленных законодательством Российской Федерации, Компания вправе осуществлять передачу Данных третьим лицам (федеральной налоговой службе, государственному пенсионному фонду и иным государственным органам) в случаях, предусмотренных законодательством Российской Федерации.

5.8. Компания вправе поручить обработку Данных субъектов Данных третьим лицам с согласия субъекта Данных, на основании заключаемого с этими лицами договора.

5.9. Лица, осуществляющие обработку Данных на основании заключаемого с Компанией договора (поручения оператора), обязуются соблюдать принципы и правила обработки и защиты Данных, предусмотренные Законом. Для каждого третьего лица в договоре определяются перечень действий (операций) с Данными, которые будут совершаться третьим лицом, осуществляющим обработку Данных, цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность Данных при их обработке, указываются требования к защите обрабатываемых Данных в соответствии с Законом.

5.10. В целях исполнения требований действующего законодательства Российской Федерации и своих договорных обязательств обработка Данных в Компании осуществляется как с использованием, так и без использования средств автоматизации. Совокупность операций обработки включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Данных.

5.11. В Компании запрещается принятие на основании исключительно автоматизированной обработки Данных решений, порождающих юридические

последствия в отношении субъекта Данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных законодательством Российской Федерации.

6. Права и обязанности субъектов Данных, а также Компании в части обработки Данных

6.1.Субъект, Данные которого обрабатываются Компанией, имеет право: получать от Компании:

o подтверждение факта обработки Данных и сведения о наличии Данных, относящихся к соответствующему субъекту Данных;

o сведения о правовых основаниях и целях обработки Данных; o сведения о применяемых Компанией способах обработки Данных; o сведения о наименовании и местонахождении Компании;

5

o сведения о лицах (за исключением работников Компании), которые имеют доступ к Данным или которым могут быть раскрыты Данные на основании договора с Компанией или на основании федерального закона;

o перечень обрабатываемых Данных, относящихся к субъекту Данных, и информацию об источнике их получения, если иной порядок предоставления таких Данных не предусмотрен федеральным законом;

o сведения о сроках обработки Данных, в том числе о сроках их хранения;

o сведения о порядке осуществления субъектом Данных прав, предусмотренных Законом;

o наименование (Ф.И.О.) и адрес лица, осуществляющего обработку Данных по поручению Компании;

o иные сведения, предусмотренные Законом или другими нормативно-правовыми актами Российской Федерации;

требовать от Компании уточнения своих Данных, их блокирования или уничтожения в случае, если Данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

отозвать свое согласие на обработку Данных в любой момент;

требовать устранения неправомерных действий Компании в

отношении его Данных;

обжаловать действия или бездействие Компании в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если субъект Данных считает, что Компания осуществляет обработку его Данных с нарушением требований Закона или иным образом нарушает его права и свободы;

на защиту своих прав и законных интересов, в том числе на возмещения убытков и/или компенсацию морального вреда в судебном порядке. 6.2. Компания в процессе обработки Данных обязана:

предоставлять субъекту Данных по его запросу информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса субъекта Данных или его представителя;

разъяснить субъекту Данных юридические последствия отказа предоставить Данные, если предоставление Данных является обязательным в соответствии с федеральным законом;

до начала обработки Данных (если Данные получены не от субъекта Данных) предоставить субъекту Данных следующую информацию, за исключением случаев, предусмотренных частью 4 статьи 18 Закона: 1) наименование либо фамилия, имя, отчество и адрес Компании или ее представителя; 2) цель обработки Данных и ее правовое основание; 3) предполагаемые пользователи Данных; 4) установленные Законом права субъектов Данных; 5) источник получения Данных.

принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты Данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Данных, а также от иных неправомерных действий в отношении Данных;

опубликовать в сети Интернет и обеспечить неограниченный доступ с использованием сети Интернет к документу, определяющему его политику в отношении обработки Данных, к сведениям о реализуемых требованиях к защите Данных;

предоставить субъектам Данных и/или их представителям безвозмездно возможность ознакомления с Данными при обращении с соответствующим запросом в течение 30 дней с даты получения подобного запроса;

осуществить блокирование неправомерно обрабатываемых Данных, относящихся к субъекту Данных, или обеспечить их блокирование (если обработка Данных осуществляется другим лицом, действующим по поручению Компании) с момента обращения или получения запроса на период проверки, в случае выявления неправомерной обработки Данных при обращении субъекта Данных или его представителя либо по запросу субъекту Данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных;

уточнить Данные либо обеспечить их уточнение (если обработка Данных осуществляется другим лицом, действующим по поручению Компании) в течение 7 рабочих дней со дня представления

6

сведений и снять блокирование Данных, в случае подтверждения факта неточности Данных на основании сведений, представленных субъектом Данных или его представителем;

прекратить неправомерную обработку Данных или обеспечить прекращение неправомерной обработки Данных лицом, действующим по поручению Компании, в случае выявления неправомерной обработки Данных, осуществляемой Компанией или лицом, действующим на основании договора с Компанией, в срок, не превышающий 3 рабочих дней с даты этого выявления;

прекратить обработку Данных или обеспечить ее прекращение (если обработка Данных осуществляется другим лицом, действующим по договору с Компанией) и уничтожить Данные или обеспечить их уничтожение (если обработка Данных осуществляется другим лицом, действующим по договору с Компанией) по достижения цели обработки Данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект Данных, в случае достижения цели обработки Данных;

прекратить обработку Данных или обеспечить ее прекращение и уничтожить Данные или обеспечить их уничтожение в случае отзыва субъектом Данных согласия на обработку Данных, если Компания не вправе осуществлять обработку Данных без согласия субъекта Данных;

вести журнал учета обращений субъектов ПДн, в котором должны фиксироваться запросы субъектов Данных на получение Данных, а также факты предоставления Данных по этим запросам. 7. Требования к защите Данных 7.1. Компания при обработке Данных принимает необходимые правовые, организационные и технические меры для защиты Данных от неправомерного и/или несанкционированного доступа к ним, уничтожения,

изменения, блокирования, копирования, предоставления, распространения Данных, а также от иных неправомерных действий в отношении Данных. 7.2.К таким мерам в соответствии с Законом, в частности, относятся:

назначение лица, ответственного за организацию обработки Данных, и лица, ответственного за обеспечение безопасности Данных;

разработка и утверждение локальных актов по вопросам обработки и защиты Данных;

применение правовых, организационных и технических мер по обеспечению безопасности Данных:

o определение угроз безопасности Данных при их обработке в информационных системах персональных данных;

o применение организационных и технических мер по обеспечению безопасности Данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите Данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности Данных;

o применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

o оценка эффективности принимаемых мер по обеспечению безопасности Данных до ввода в эксплуатацию информационной системы персональных данных;

o учет машинных носителей Данных, если хранение Данных осуществляется на машинных носителях;

o обнаружение фактов несанкционированного доступа к Данным и принятие мер по недопущению подобных инцидентов в дальнейшем;

o восстановление Данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

o установление правил доступа к Данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с Данными в информационной системе персональных данных.

контроль за принимаемыми мерами по обеспечению безопасности Данных и уровнем защищенности информационных систем персональных данных;