Политика конфиденциальности

Политика конфиденциальности

Политика обработки персональных данных - АртРотанг

1. Общие положения

1.1. Политика обработки персональных данных (далее — Политика) в компании «АртРотанг» (ИП Артемьева Татьяна Владимировна, ИНН 331100434427) определяет основные принципы, порядок и условия обработки персональных данных работников Компании «АртРотанг» (далее – Компания) и иных лиц, чьи персональные данные обрабатываются Компанией, а также устанавливает ответственность должностных лиц Компании, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.2. Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных») и другими федеральными законами и нормативно-правовыми актами Российской Федерации в области персональных данных.

1.3. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в Компании вопросы обработки персональных данных работников Компании и других субъектов персональных данных.

1.4. Требования, изложенные в настоящей Политике, являются обязательными для выполнения всеми работниками Компании и иными лицами, имеющими договорные отношения с Компанией.

2. Основные термины и определения, регламентирующих вопросы обработки персональных данных

2.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.2. Оператор персональных данных (оператор) – Компания, самостоятельно или совместно с другими лицами организующая и (или) осуществляющая обработку персональных данных, а также определяющая цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

2.3. Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;

2.4. Специальные категории персональных данных — сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

2.5. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.6. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

2.7. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

2.8. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

2.9. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

2.10. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

2.11. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

2.12. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.13. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Принципы и цели обработки персональных данных

3.1. Компания, являясь оператором персональных данных, осуществляет обработку персональных данных работников Компании и других субъектов персональных данных, не состоящих в трудовых отношениях с Компанией.

3.2. Обработка персональных данных в Компании осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Компании и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

  • обработка персональных данных осуществляется в Компании на законной и справедливой основе;

  • обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;

  • не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

  • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

  • обработке подлежат только персональные данные, которые отвечают целям их обработки;

  • содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;

  • при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Компанией принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;

  • хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

  • обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.3. Персональные данные обрабатываются в Компании в целях:

  • обеспечения соблюдения законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Компании;

  • осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Компанию, в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;

  • регулирования трудовых отношений с работниками Компании;

  • защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;

  • подготовки, заключения, исполнения и прекращения договоров с контрагентами;

  • исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

  • в иных законных целях.

4. Перечень субъектов, персональные данные которых обрабатываются в Компании АртРотанг

4.1. В целях настоящего документа в качестве субъектов персональных данных, персональные данные которых могут обрабатываться в Компании с использованием средств автоматизации или без использования таковых, понимаются нижеперечисленные категории физических лиц, условно именуемые далее:

4.1.1. клиентами, в состав которых включаются:

  • физические лица (покупатели) и их представители (лица, действующие по доверенности и др.), имеющие договорные отношения с Компанией;

  • посетители интернет-магазина;

  • пользователи мобильного приложения;

4.1.2. контрагентами, в состав которых включаются:

  • руководители, представители и работники юридических лиц, а также индивидуальные предприниматели и физические лица, имеющие договорные отношения с Компанией, в том числе находящиеся на преддоговорном этапе установления таких отношений.

4.1.3. работниками, в состав которых включаются:

  • кандидаты на работу в Компании;

  • персонал Компании (работники, имеющие трудовые отношения с Компанией);

  • лица, имевшие ранее трудовые отношения с Компанией.

4.1.4. посетителями, в состав которых включаются: 

  • представители (должностные лица) органов власти, органов местного самоуправления, уполномоченных государственных регуляторов;

  • представители общественных организаций, коммерческих и некоммерческих структур и иных объединений (в т.ч. - иностранных). 

4.1.5. иные субъекты персональных данных, которые не вошли в вышеперечисленные категории и обработка персональных данных которых не противоречит законодательству РФ, в т.ч.: 

  • лица, остановленные охраной магазинов Компании, в связи с подозрением в воровстве товаров из магазинов либо в связи с иным нарушением общественного порядка на территории и/или в зданиях и помещениях Компании.

5. Перечень персональных данных, обрабатываемых в Компании АртРотанг

5.1. Перечень персональных данных, обрабатываемых в Компании, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Компании с учетом целей обработки персональных данных, указанных в разделе 3 Политики.

5.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Компании не осуществляется.

6. Функции Компании АртРотанг при осуществлении обработки персональных данных

6.1. Компания при осуществлении обработки персональных данных:

  • принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов Компании в области персональных данных;

  • принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

  • назначает лицо, ответственное за организацию обработки персональных данных в Компании;

  • издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты персональных данных в Компании;

  • осуществляет ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локальных нормативных актов Компании в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников;

  • публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;

  • сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации;

  • прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;

  • совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных.

7. Лицо, ответственное за обработку персональных данных

7.1. В Компании распорядительным порядком (приказом) назначается лицо, ответственное за организацию обработки персональных данных (далее — Ответственный за организацию обработки персональных данных).

7.2. Ответственный за организацию обработки персональных данных обязан:

7.2.1. осуществлять внутренний контроль за соблюдением Компанией и ее работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

7.2.2. доводить до сведения работников Компании положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

7.2.3. организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и осуществлять контроль за приемом и обработкой таких обращений и запросов;

7.3. Ответственными за организацию выполнения требований настоящей Политики и иных локальных актов Компании по вопросам обработки персональных данных и их защите, а также за выполнение указанных требований в структурных / обособленных подразделениях Компании являются руководители таких подразделений.

7.4. Ответственными за выполнение требований настоящей Политики и иных локальных актов Компании по вопросам обработки персональных данных и их защите на своих рабочих местах в рамках, определенных соответствующими должностными инструкциями являются лица, осуществляющие обработку персональных данных в Компании согласно своим должностным (функциональным) обязанностям.

8. Работники, уполномоченные обрабатывать персональные данные

8.1. Работники, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами Компании, определяющими политику в отношении обработки персональных данных, Положением о защите персональных данных.

8.2. С работниками, непосредственно осуществляющими обработку персональных данных, а равно с работниками, в должностные обязанности которых не входит обработка персональных данных, но которые имеют возможность находиться в помещениях, где производится обработка персональных данных, оформлены обязательства о выполнении требований настоящей Политики, Положения о защите персональных данных, и иных локальных актов Компании по обработке, защите и неразглашении информации ограниченного доступа (в т. ч. персональных данных).

9. Сроки и процедура хранения персональных данных

9.1. Сроки хранения персональных данных определяются сроками достижения целей их обработки или исходя из видов документов, в которых содержатся персональные данные.

9.2. Компания обеспечивает безопасное хранение персональных данных, т.е. принимает меры по предотвращению физической утраты или повреждения данных, а также по ограничению доступа и раскрытия персональных данных.

9.3. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

9.4. При осуществлении хранения персональных данных Компания использует базы данных, находящиеся на территории Российской Федерации.

9.5. Биометрические персональные данные не хранятся вне информационных систем персональных данных.

10. Согласие субъекта персональных данных и отзыв согласия

10.1. Компания обрабатывает персональные данные субъекта персональных данных с обязательным получением согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено федеральным законодательством.

10.2. Персональные данные могут быть получены не от субъекта персональных данных при наличии согласия субъекта персональных данных на передачу его персональных данных в Компанию для обработки, если иной порядок получения персональных данных не предусмотрен Федеральным законом.

10.3. Согласие предоставляется субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законодательством, в том числе, но не ограничиваясь:

  • согласие субъектов персональных данных может быть включено в текст типовых форм, применяемых в Компании;

  • согласие субъекта персональных данных может быть оформлено отдельным документом;

  • согласие может быть получено посредством проставления галочки или совершением конклюдентных действий в соответствующей веб-форме на сайте или в мобильном приложении.

10.4. Для обработки специальных категорий и биометрических персональных данных, если иное не предусмотрено федеральным законом, согласие субъекта персональных данных получается в письменной форме в виде отдельного документа;

10.5. Формы согласий субъектов персональных данных и порядок их получения конкретизирован в иных локальных актах Компании по вопросам обработки персональных данных.

10.6. Субъект персональных данных может отозвать свое согласие на обработку персональных данных. Формы и порядок отзыва согласий субъектов персональных данных конкретизирован в иных локальных актах Компании по вопросам обработки персональных данных.

10.7. В случае отзыва субъектом персональных данных своего согласия на обработку его персональных данных Компания вправе продолжить обработку персональных данных без согласия субъекта персональных данных только при наличии оснований, указанных в федеральном законодательстве.

11. Уточнение, блокирование и уничтожение персональных данных, запросы субъектов персональных данных

11.1. В случае выявления неточных, неполных и/или устаревших персональных данных или неправомерной обработки персональных данных осуществляется блокирование соответствующих персональных данных или обеспечивается их блокирование, если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании.

11.2. Одновременно с решением о блокировании персональных данных инициируется проведение проверки заблокированных персональных данных.

11.3. Процедура проведения проверки заблокированных персональных данных установлена в иных локальных актах Компании по вопросам обработки персональных данных.

11.4. Сроки проверки заблокированных персональных данных установлены в иных локальных актах Компании по вопросам обработки персональных данных, но в любом случае они не могут превышать законодательно установленных сроков, а при их отсутствии - 30 (тридцати) календарных дней.

11.5. Блокирование персональных данных осуществляется или обеспечивается, если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании, при условии, что блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

11.6. Если по результатам проверки неправомерность обработки персональных данных подтверждена и при условии, что обеспечение правомерности обработки персональных данных невозможно (например, невозможно получить согласие субъекта персональных данных), принимается решение об уничтожении персональных данных.

11.7. Если по результатам проверки неточность персональных данных подтверждена, то персональные данные подлежат уточнению, а в случае, когда невозможно обеспечить правомерность обработки уточненных персональных данных - персональные данные уничтожаются.

11.8. В случаях достижения цели обработки персональных данных, истечения срока обработки персональных данных, отзыва субъектом персональных данных своего согласия на обработку персональных данных, персональные данные уничтожаются.

11.9. В случае поступления запроса в установленном законом порядке от субъекта персональных данных или его представителя Компания обязана сообщить информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

11.10. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Компания обязана внести в них необходимые изменения.

11.11. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Компания обязана уничтожить такие персональные данные.

12. Нарушение политики и ответственность

12.1. Компания несет ответственность за соответствие обработки персональных данных действующему законодательству.

12.2. Все сотрудники Компании, уполномоченные обрабатывать персональные данные несут ответственность за соблюдение настоящей Политики и иных локальных актов Компании по вопросам обработки персональных данных.

12.3. Любой сотрудник, которому стало известно о нарушении настоящей Политики или который подозревает о существовании такого нарушения, должен сообщить об этом в соответствии с принятым в Компании порядком.

12.4. По факту любых нарушений требований настоящей Политики будут проведены разбирательства в соответствии с существующими в Компании процедурами, по результатам которых могут быть применены меры дисциплинарной ответственности в соответствии с трудовым законодательством Российской Федерации.

12.5. В тех случаях, когда нарушений требований настоящей Политики явилось причиной нарушения положений законодательства Российской Федерации, Компания вправе обратиться в правоохранительные органы.

13. Порядок пересмотра документа

13.1. Пересмотр положений настоящей Политики проводится в следующих случаях:

  • на регулярной основе, но не реже одного раза в 2 года;

  • по результатам проверок уполномоченными государственными регуляторами и контролирующими органами исполнительной власти Российской Федерации, выявивших несоответствия требованиям по обработке и обеспечению безопасности обработки персональных данных;

  • при появлении новых требований к обработке и обеспечению безопасности обработки персональных данных со стороны российского законодательства и контролирующих органов исполнительной власти Российской Федерации, а также договорных и других обязательств;

  • по результатам расследования инцидентов информационной безопасности, связанных с обработкой и обеспечением безопасности персональных данных.

13.2. Ответственным за пересмотр Политики и составление рекомендаций по актуализации является Ответственный за организацию обработки персональных данных в Компании.