Политика об обработке персональных данных
УТВЕРЖДЕНО
Приказом ИП Хуражевой Е.А.
№ 29-01/24 от «29» января 2024
Политика об обработке персональных данных в ИП Хуражева Е.А.
Редакция 1
1. Терминология
Основные понятия, используемые в Политике, определены в Законе о персональных данных:
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Неавтоматизированная обработка персональных данных — обработка содержащихся в информационной системе персональных данных либо извлеченных из такой системы при непосредственном участии человека.
Оператор персональных данных — ИП Хуражевой Е.А., ОГРНИП 322508100302031, адрес: 143020, Московская обл., г. Одинцово, ул. д. Ямищево, дом 9, кв. 3.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу.
Сайт — интернет- магазин, размещенный по адресу: www.meat-gurman.ru.
Субъект персональных данных — определенное или определяемое физическое лицо, которому прямо или косвенно относятся (принадлежат) персональные данные.
Все термины, значение которых не установлены Политикой, должны трактоваться в соответствии с Соглашением.
2. Общие Положения
2.1. Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О ПДн» (Закон о ПДн) и иными актами Российской Федерации. Политика определяет основные принципы, порядок и условия обработки ПДн Оператором, устанавливает порядок работы с персональными данными, правила обеспечения защиты и конфиденциальности ПДн.
2.2. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 08.02.1998 N 14-ФЗ "Об обществах с ограниченной ответственностью";
- Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете";
- Федеральный закон от 15.12.2001 N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации";
- иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
Правовым основанием обработки персональных данных также являются:
- договоры, заключаемые между Оператором и субъектами персональных данных;
- согласие субъектов персональных данных на обработку их персональных данных.
3. Принципы обработки
3.1. При обработке ПДн Оператор придерживается следующих принципов:
- законности и справедливости обработки ПДн;
- соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн;
- соответствия содержания и объема обрабатываемых ПДн целям обработки ПДн;
- точности, достаточности и актуальности при обработке ПДн;
- недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;
- недопустимости объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
- хранения ПДн в форме, позволяющей определить Субъекта ПДн, не дольше, чем этого требуют цели их обработки, если срок хранения ПДн не установлен федеральным законом или, договором;
- уничтожения или обезличивания ПДн по достижении целей их обработки, или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
- обеспечения конфиденциальности и безопасности обрабатываемых ПДн.
4. Порядок и условия обработки ПДн
4.1. Обработка ПДн Оператором включает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение.
4.2. Обработка ПДн Оператором осуществляется с согласия Субъекта ПДн на обработку его ПДн, если иное не предусмотрено законодательством РФ. Оператор не раскрывает третьим лицам и не распространяет ПДн без согласия Субъекта ПДн, если иное не предусмотрено федеральным законом;
4.3. Оператор может обрабатывать персональных данные субъектов ПДн как с использованием автоматизированной обработки ПДн (с использованием средств вычислительной техники) и неавтоматизированной обработки ПДн (без использования средств вычислительной техники) с фиксацией ПДн на Материальных носителях. Обработка Оператором ПДн автоматизированным способом (в ИСПДн) и неавтоматизированным способом осуществляется с соблюдением требований Законодательства РФ и положений Оператора, регламентирующих вопросы обработки и защиты ПДн. При обработке ПДн автоматизированном способом Оператор принимает необходимые меры по обеспечению безопасности обрабатываемых ПДн. Обработка ПДн неавтоматизированном способом, в том числе хранение Материальных носителей ПДн, осуществляется в помещениях, обеспечивающих их сохранность, с возможностью определить места хранения ПДн (Материальных носителей) в порядке, предусмотренном Законодательством РФ.
4.4. Оператор принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении обрабатываемых ПДн.
4.5. Для информационного обеспечения работников Оператор может создавать справочники, содержащие контакты работников. Оператор предоставляет доступ к таким справочникам только авторизованным лицам в соответствии с внутренним документом, регулирующим правила доступа к информационным ресурсам.
4.6. Оператор может осуществлять обработку ПДн, разрешенных Субъектом ПДн для распространения, в соответствии со статьей 10.1 Закона № 152-ФЗ.
4.7. Оператор прекращает обработку персональных данных в следующих случаях:
- выявлен факт их неправомерной обработки. Срок - в течение трех рабочих дней с даты выявления;
- достигнута цель их обработки;
- истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону № 152-ФЗ обработка этих данных допускается только с согласия.
4.8. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор прекращает обработку этих данных, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом № 152-ФЗ или иными федеральными законами;
- иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
4.9. При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом № 152-ФЗ. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
4.10. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе № 152-ФЗ.
4.11. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:
- в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
- в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
5. Цели обработки ПДн, категории и перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки обработки и хранения ПДн, порядок их уничтожения
5.1. Оператор обрабатывает ПДн для достижения конкретных, заранее определенных и законных целей. Оператор не осуществляет обработку ПДн, несовместимую с целями сбора ПДн. Для каждой цели обработки ПДн Оператором определены:
- соответствующие категории и перечень обрабатываемых ПДн;
- категории Субъектов ПДн, ПДн которых обрабатываются Оператором;
- способы и сроки обработки и хранения ПДн;
- порядок уничтожения ПДн.
5.2. Оператор обрабатывает общие категории ПДн.
5.3. Оператор не обрабатывает биометрические и специальные категории ПДн, если иное не установлено законодательством.
5.4 Цель обработки ПДн: подбор персонала и рассмотрение соискателей на вакантные должности.
5.4.1. В рамках цели, указанной в 5.4. Оператор обрабатывает ПДн следующих категорий Субъектов ПДн: соискатели (кандидаты) на замещение вакантных должностей. При этом ПДн физических лиц, связанных с указанными соискателями (кандидатами), обрабатываются Оператором исключительно в связи с необходимостью осуществления отбора соискателей (кандидатов) для подбора персонала и рассмотрение соискателей на вакантные должности.
5.4.2. В отношении соискателей (кандидатов), претендующих на вакантные должности у Оператора при наличии и с учетом условий (правовых оснований) обработки ПДн, допускается обработка следующих ПДн:
- ПДн, входящие в категорию «Иные ПДн»: фамилия, имя, отчество; дата рождения; гражданство; номера контактных телефонов; сведения о наличии водительских прав; сведения о категории водительских прав; сведения о наличии автомобиля; сведения об образовании (наименование учебного учреждения, год поступления, год окончания, специальность); сведения о наличии ученой степени; сведения о степени владения иностранными языками; сведения о владении компьютером; сведения о семейном положении; сведения о предыдущих местах работы (дата приема, дата увольнения, название организации, должность; вид деятельности организации, должностные обязанности; сведения о наличии государственных наград;
- ПДн, входящие в категорию «Специальные категории ПДн»: не обрабатываются;
- ПДн, входящие в категорию «Биометрические персональные: не обрабатываются.
5.4.3. Способы обработки ПДн для цели, указанной в п. 5.4. Политики, определены в п. 5.1. Политики.
5.4.4. Сроки обработки и хранения ПДн для цели, указанной в п. 5.4. Политики, определены в п. 5.10. Политики.
5.4.5. Порядок уничтожения ПДн для цели, указанной в п. 5.4. Политики, определены в п. 5.12. Политики.
5.5. Цель обработки ПДн: заключение и исполнение трудовых договоров, а также регулирование трудовых и иных непосредственно связанных с ними отношений: соблюдение налогового, пенсионного, страхового законодательства, оформление карт зарплатного проекта, расчет и начисление заработной платы, хранение документов по личному составу.
5.5.1. В рамках цели, указанной в п.5.5. Оператор обрабатывает ПДн следующих категорий Субъектов ПДн: «Работники, Бывшие работники и связанные с Работниками физические лица. При этом ПДн физических лиц, связанных с Работниками, обрабатываются Оператором исключительно в связи с необходимостью организации, обеспечения и регулирования трудовых и непосредственно связанных с ними отношений.
5.5.2. В отношении Работников в рамках цели, указанной в п.5.5. Политики, при наличии и с учетом условий (правовых оснований) обработки ПДн, допускается обработка следующих ПДн:
- ПДн, входящие в категорию «Иные ПДн»: фамилия, имя, отчество; дата рождения; пол; место рождения; гражданство; реквизиты документа, удостоверяющего личность; ИНН; СНИЛС; адрес места жительства (по паспорту или иному документу, удостоверяющему личность); фактический адрес места жительства; номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; дата регистрации по месту жительства; сведения о доходах; сведения о реквизитах банковского счета; сведения об образовании, квалификации, специальности, переподготовке; наименование и реквизиты (серия и номер, дата выдачи, наименование выдавшего органа) документа об образовании, квалификации, специальности; сведения о семейном Политике; сведения о степени родства; сведения о наличии военной обязанности; реквизиты (серия и номер, дата выдачи, наименование выдавшего органа) военного билета или удостоверения гражданина, подлежащего призыву на военную службу; категория запаса; воинское звание; полное обозначение военно-учетной специальности; категория годности; наименование военного комиссариата по месту жительства; номер команды, партии воинского учета; сведения о дате аттестации; сведения о решении комиссии по аттестации; сведения о документе (протоколе) об аттестации (номер и дата документа); сведения об инвалидности; наименование профессии; сведения о данных, содержащихся в свидетельстве о заключении брака (дата заключения брака; дата составления и номера записи акта о заключении брака; дата выдачи свидетельства о заключении брака; место государственной регистрации заключения брака); сведения об изменении имени, фамилии, отчества; сведения о данных, содержащихся в свидетельстве о рождении детей (дата рождения ребенка; место рождения; место государственной регистрации; сведения об отце и матери); сведения о составе семьи; сведения о стаже работы; сведения о характере работы; сведения о виде работы (основная/по совместительству); сведения о знании иностранных языков (наименования языков и степень владения); сведения (дата, период, наименование организации, проводившей обучение) о прохождении обучения (повышения квалификации, переподготовке); сведения о посещаемости и успеваемости при прохождении обучения (повышения квалификации, переподготовке); наименование и реквизиты (серия и номер, дата выдачи, наименование проводившей обучение организации, наименование выдавшего органа) документа о прохождении обучения (повышения квалификации, переподготовке); сведения о факте, виде, периоде и продолжительности нахождения в отпуске; сведения о награждении государственными и ведомственными наградами; наименование и реквизиты (серия и номер, дата выдачи, наименование проводившей обучение организации, наименование выдавшего органа; сведения о доходах за предыдущий период до текущего трудоустройства; сведения о размере оклада; сведения о начисленной и удержанной заработной платы; сведения о начисленных и уплаченных страховых взносах; сведения о премиях; сведения о периодических выплатах; сведения о сумме дополнительного вознаграждения; сведения о миграционном учете (виза; вид на жительство; разрешение на временное проживание; серия; номер; дата; срок действия; цель въезда; профессия; дата въезда; срок прибывания; серия и номер миграционной карты; сведения о законных представителях);
- ПДн, входящие в категорию «Специальные категории ПДн»: не обрабатываются;
- ПДн, входящие в категорию «Биометрические персональные: не обрабатываются.
5.5.3. В отношении Бывших Работников:
- ПДн, входящие в категорию «Иные ПДн»: ПДн, не являющиеся специальными или биометрическими: фамилия, имя, отчество; дата рождения; пол; место рождения; гражданство; реквизиты документа, удостоверяющего личность; ИНН; СНИЛС; адрес места жительства (по паспорту или иному документу, удостоверяющему личность, и фактический); номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; доходы; сведения о банковских счетах; сведения об образовании, квалификации, специальности; сведения о военной обязанности; сведения о стаже работы; сведения о характере и виде работы; сведения о знании иностранных языков; сведения о нахождении в отпуске; сведения о награждении государственными и ведомственными наградами; сведения о льготах и основаниях для их получения; сведения о размере оклада; сведения о заработной плате; сведения о страховых взносах; сведения о премиях; сведения о периодических выплатах; сведения о сумме дополнительного вознаграждения; сведения о выплатах материальной помощи и иных компенсаций; сведения о страховом и льготном стаже; сведения о стаже работы на должности; сведения о нетрудоспособности;
- ПДн, входящие в категорию «Специальные категории ПДн»: не обрабатываются;
- ПДн, входящие в категорию «Биометрические персональные: не обрабатываются.
5.5.4. В отношении физических лиц, связанных с Работниками, в рамках цели, указанной в п. 5.5. Политики, при наличии и с учетом условий (правовых оснований) обработки ПДн, допускается обработка следующих ПДн:
5.5.4.1. Применительно к Родственникам Работников (за исключением несовершеннолетних лиц):
- ПДн, входящие в категорию «Иные ПДн»: фамилия; имя; отчество; адрес (адрес регистрации по месту жительства/пребывания; адрес проживания (фактический адрес); город проживания; гражданство/резидентство; дата рождения/возраст; пол; место работы; место рождения; контактные данные (номер телефона, адрес электронной почты); профессия; сведения о дееспособности, не связанные с состоянием здоровья; сведения о детях (в том числе сведения свидетельства о рождении ребенка); сведения о смене фамилии и/или имени, и/или отчества; сведения свидетельства о браке; сведения о семейном Политике; сведения, указанные в свидетельстве о регистрации транспортного средства; прочие ПДн, необходимые для достижения цели обработки ПДн, сбор (получение) которых осуществляется при наличии и с учетом условий (правовых оснований) обработки ПДн;
- ПДн, входящие в категорию «Специальные категории ПДн»: сведения о состоянии здоровья;
- ПДн, входящие в категорию «Биометрические персональные: не обрабатываются.
5.5.4.2. Применительно к несовершеннолетним (не достигшим 18 лет) Родственникам Работников:
- ПДн, входящие в категорию «Иные ПДн»: фамилия; имя; отчество; адрес (адрес регистрации по месту жительства/пребывания; адрес проживания (фактический адрес); дата рождения; возраст; пол; город проживания; гражданство; данные документов, подтверждающих полномочия Представителя; данные документов, удостоверяющих личность (документов, которые в соответствии с Законодательством РФ подпадают под категорию документов, удостоверяющих личность); сведения о смене ранее выданного документа, удостоверяющего личность; сведения о смене фамилии и/или имени, и/или отчества;
- ПДн, входящие в категорию «Специальные категории ПДн»: сведения о состоянии здоровья;
- ПДн, входящие в категорию «Биометрические персональные: не обрабатываются.
5.5.5. Способы обработки ПДн для цели, указанной в п. 5.5. Политики, определены в п. 5.1. Политики.
5.5.6. Сроки обработки и хранения ПДн для цели, указанной в п. 5.5. Политики, определены в п. 5.10. Политики.
5.5.7. Порядок уничтожения ПДн для цели, указанной в п. 5.5. Политики, определены в п. 5.12. Политики.
5.6. Цель обработки ПДн: доступ к Сайту, использование функционала Сайта, заполнение любых форм, получения писем/ответов/уведомлений/смс, касающихся обратной связи и работы Сайта.
5.6.1. В рамках цели, указанной в 5.6. Оператор обрабатывает ПДн следующих категорий Субъектов ПДн: физические лица, пользователи Сайта Оператора.
5.6.2. В рамках цели, указанной в 5.6. Политики, при наличии и с учетом условий (правовых оснований) обработки ПДн, допускается обработка следующих ПДн:
- ПДн, входящие в категорию «Иные ПДн»: фамилия, имя, отчество, номер телефона; адрес электронной почты
- ПДн, входящие в категорию «Специальные категории ПДн»: не обрабатываются;
- ПДн, входящие в категорию «Биометрические персональные: не обрабатываются.
5.6.3. Способы обработки ПДн для цели, указанной в п. 5.6. Политики, определены в п. 5.1. Политики.
5.6.4. Сроки обработки и хранения ПДн для цели, указанной в п. 5.6. Политики определены в п. 5.12. Политики.
5.6.5. Порядок уничтожения ПДн для цели, указанной в п. 5.6. Политики определены в п. 5.10. Политики.
5.7. Цель обработки ПДн: получение статистики использования Сайта, а также его улучшение.
5.7.1. В рамках цели, указанной в 5.7., Оператор обрабатывает персональные статистические данные для их последующей обработки системой Яндекс.Метрика следующих категорий Субъектов ПДн: физические лица, пользователи сайта Оператора.
5.7.2. В отношении физические лица, пользователи сайта Оператора. в рамках цели, указанной в п.5.7. Политики, при наличии и с учетом условий (правовых оснований) обработки ПДн, допускается обработка следующих ПДн:
- ПДн, входящие в категорию «Иные ПДн»: URL страницы, реферер страницы, заголовок страницы, браузер и его версия, операционная система и ее версия, устройство, высота и ширина экрана, наличие Cookies, наличие JavaScript, часовой пояс, язык браузера, глубина цвета экрана, ширина и высота клиентской части окна браузера, пол и возраст посетителей, интересы посетителей, географические данные, JavaScript-события, параметры загрузки страницы, просмотр страницы, визит, переход по внешней ссылке, скачивание файла, отказ, время на сайте, глубина просмотра.
- ПДн, входящие в категорию «Специальные категории ПДн»: сведения о состоянии здоровья;
- ПДн, входящие в категорию «Биометрические персональные: не обрабатываются.
5.7.3. Способы обработки ПДн для цели, указанной в п. 5.7. Политики определены в п. 5.1 Политики.
5.7.4. Сроки обработки и хранения ПДн для цели, указанной в п. 5.7. Политики, определены в п. 5.10 Политики.
5.7.5. Порядок уничтожения ПДн для цели, указанной в п. 5.7. Политики определены в п. 5.12. Политики.
5.7.6. Пользователь Сайта может самостоятельно управлять файлами Cookies путем изменения настроек браузера. Изменения пользовательских настроек, в результате которых файлы Cookies будут заблокированы, могут привести к недоступности отдельных компонентов Сайта.
5.8. Цель обработки ПДн: оформления и оплаты Заказа на Сайте.
5.8.1. В рамках цели, указанной в 5.8. Оператор обрабатывает ПДн следующих категорий Субъектов ПДн: физические лица, пользователи Сайта.
5.8.2. В рамках цели, указанной в 5.8. Политики, при наличии и с учетом условий (правовых оснований) обработки ПДн, допускается обработка следующих ПДн:
- ПДн, входящие в категорию «Иные ПДн»: фамилия, имя, отчество, контактный номер телефона, адрес электронной почты, адрес доставки.
- ПДн, входящие в категорию «Специальные категории ПДн»: не обрабатываются;
- ПДн, входящие в категорию «Биометрические персональные: не обрабатываются.
5.8.3. Способы обработки ПДн для цели, указанной в п. 5.8. Политики, определены в п. 5.1 Политики.
5.8.4. Сроки обработки и хранения ПДн для цели, указанной в п. 5.8. Политики определены в п. 5.10. Политики.
5.8.5. Порядок уничтожения ПДн для цели, указанной в п. 5.8. Политики определены в п. 5.12. Политики.
5.9 Цель обработки ПДн: сотрудничество с контрагентами.
5.9.1. В рамках цели, указанной в 5.9., Оператор обрабатывает ПДн следующих категорий Субъектов ПДн: физических лиц, являющихся представителями / работниками юридических лиц контрагентов Оператора.
5.9.2. В отношении физических лиц, являющихся представителями / работниками юридических лиц контрагентов Оператора в рамках цели, указанной в п.5.9. Политики, при наличии и с учетом условий (правовых оснований) обработки ПДн, допускается обработка следующих ПДн:
- ПДн, входящие в категорию «Иные ПДн»: фамилия, имя, отчество, контактный номер телефона, адрес электронной почты.
- ПДн, входящие в категорию «Специальные категории ПДн»: не обрабатываются;
- ПДн, входящие в категорию «Биометрические персональные: не обрабатываются.
5.9.3. Способы обработки ПДн для цели, указанной в п. 5.9. Политики, определены в п. 5.1. Политики.
5.9.4. Сроки обработки и хранения ПДн для цели, указанной в п. 5.9. Политики, определены в п. 5.10 Политики.
5.9.5. Порядок уничтожения ПДн для цели, указанной в п. 5.9. Политики, определены в п. 5.12. Политики.
5.10. Сроки обработки и хранения ПДн для каждой указанной в Политике цели обработки ПДн устанавливаются с учетом соблюдения требований, в том числе условий обработки ПДн, определенных законодательством РФ, и/или с учетом положений договора, стороной, выгодоприобретателем или поручителем по которому выступает Субъект ПДн, и/или согласия Субъекта ПДн на обработку его ПДн, при этом обработка и хранение ПДн осуществляются не дольше, чем этого требуют цели обработки ПДн, если иное не установлено законодательством РФ.
ПДн на бумажных носителях хранятся у Оператора в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).
Срок хранения ПДн, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
5.11. Предоставленное в соответствии с Политикой согласие на обработку ПДн может быть в любой момент отозвано путем направления письменного заявления по адресу: 143020, Московская обл., г. Одинцово, ул. д. Ямищево, дом 9, кв. 3.
5.12. Порядок уничтожения ПДн:
Уничтожение ПДн, обработка которых осуществляется в рамках целей, производится в следующих случаях:
- при достижении цели (целей) обработки ПДн или в случае утраты необходимости в достижении цели (целей) обработки ПДн, если иное не установлено и/или иными применимыми нормативными правовыми актами РФ - в течение 30 дней;
- при выявлении факта неправомерной обработки ПДн - в течение семи рабочих дней;
- при отзыве Субъектом ПДн согласия на обработку ПДн, если иное не предусмотрено - в течение 30 дней;
- при достижении максимальных сроков хранения документов, содержащих персональные данные - в течение 30 дней.
Способы уничтожения ПДн определяются в зависимости от способов обработки ПДн и Материальных носителей ПДн, на которых осуществляется запись и хранение ПДн и устанавливаются в локальных нормативных актах Оператора.
5.13. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
- иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
5.14. В ряде случаев, предусмотренных пунктами 2-11 части 1 статьи б ФЗ «О ПДн», Оператор может продолжить обработку ПДн после отзыва согласия на обработку ПДн.
6. Раскрытие персональных данных третьим лицам и поручение
6.1. Оператор обязан не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено Законом № 152-ФЗ. 6.2. Оператор предоставляет доступ к персональным данным пользователей Сайта только тем работникам Оператора, которым эта информация необходима для исполнения своих трудовых функций.
6.3. Для достижения целей обработки персональных данных Оператор может поручить обработку персональных данных третьим лицам, являющимся контрагентами Оператора с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
6.4. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом № 152-ФЗ, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
6.5. Оператор вправе передавать ПДн органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
7. Безопасность персональных данных
7.1. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах Оператора, достигается путем исключения несанкционированного, в том числе случайного, доступа, а также принятия следующих мер по обеспечению безопасности:
- определение актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности;
- применение процедур оценки соответствия средств защиты информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;
- учет машинных носителей персональных данных;
- обеспечение работоспособного функционирования компьютерной техники с персональными данными в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации;
- обнаружение и регистрация фактов несанкционированного доступа персональным данным, несанкционированной повторной и/ дополнительной записи информации после ее извлечения из информационной системы и принятие мер;
- восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационных системах Оператора, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах Оператора.
8. Ответственность
8.1. Ответственность за выполнение требований настоящей Политики возложена на руководителей подразделений и работников Оператора в рамках своих полномочий в процессе обработки ПДн.
8.2. Лица, случайно или намеренно нарушившие требования настоящей Политики, несут дисциплинарную и административную ответственность в соответствии с действующими документами Оператора, а также могут быть привлечены к ответственности в соответствии с Трудовым кодексом, Гражданским кодексом, Кодексом об административных правонарушениях и Уголовным кодексом РФ.
9. Получение сведений, актуализация персональных данных, актуализация персональных данных
9.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона № 152-ФЗ, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
- подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации или бумажного - почтой по адресу: 143020, Московская обл., г. Одинцово, ул. д. Ямищево, дом 9, кв. 3.
Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона № 152-ФЗ, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона № 152-ФЗ все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона № 152-ФЗ, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
9.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
9.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
10. Заключительные положения
10.1. Настоящая Политика вступает в силу с момента ее утверждения и введения в действие и является общедоступным документом. Любые изменения в Политику вносятся путем утверждения и публикации обновленной Политики на Сайте.
10.2. Оператор знакомит работников с требованиями Политики под роспись (либо в бумажной форме с собственноручной подписью, либо в форме документа с электронной подписью).