1. Общие положения
1.1. Настоящее Положение о порядке хранения и защиты персональных данных (далее — Положение) устанавливает порядок обработки персональных данных: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), уничтожение персональных данных, а также определяет цели, задачи и основные мероприятия по обеспечению безопасности персональных данных в ООО ПТК «Сатурн Мебель», зарегистрированному в соответствии с законодательством РФ в г. Ярославле (далее по тексту — Оператор, Общество) от несанкционированного доступа, неправомерного их использования или утраты.
1.2. Положение разработано в соответствии с действующим законодательством Российской Федерации в области защиты персональных данных:
1.2.1. Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных».
1.2.2. Постановления Правительства Российской Федерации от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
1.2.3. Постановления Правительства Российской Федерации от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
1.2.4. Нормативные документы уполномоченных органов.
1.3. Настоящее Положение действует в отношении всех персональных данных (далее — ПД), полученных как до, так и после ввода в действие настоящего Положения, и распространяется на сотрудников общества, лиц работающих по договору подряда, а также на сотрудников сторонних организаций, взаимодействующих с обществом на основании соответствующих нормативных, правовых, и организационно- распорядительных документов, физических лиц, находящихся в гражданско-правовых отношениях с Обществом.
1.4. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
1.5. Целями Положения являются:
1.6. Принципы обработки персональных данных:
2. Термины и принятые сокращения
Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), т.е. к такой информации в частности относятся: Фамилия Имя Отчество, год, месяц дата и место рождения, адрес, сведения о семейном, социальном, имущественном положении, сведения об образовании, профессии, доходах, номер телефона, адрес электронной почты для связи, информация о кандидатах на вакантные должности, оставленная такими кандидатами при заполнении анкеты, включая информацию, содержащуюся в резюме кандидата, а также другая информация.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных (ИСПД) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Персональные данные, сделанные общедоступными субъектом персональных данных, — ПД, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Распространение персональных данных — действие, направленное на раскрытие персональных данных определенному кругу лиц по предварительному согласию, в случаях, предусмотренных законом.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных к конкретному субъекту персональных данных.
Веб-решение совокупность программных и аппаратных средств для ЭВМ, обеспечивающих публикацию для всеобщего обозрения информации и данных, объединенных общим целевым назначением, посредством технических средств, применяемых для связи между ЭВМ в сети Интернет. Под Веб-решением в Соглашении понимается Сайт, расположенный в сети Интернет по адресу: https://mebel-76.ru и поддоменах, сервисы, обеспечивающие работоспособность сайта, мобильные приложения для платформ Android и iOS. Пользователь — пользователь сети Интернет и, в частности, Веб-решения, имеющий свою личную страницу (профиль/аккаунт).
Оператор организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является ООО ПТК «Сатурн Мебель», расположенное в г. Ярославле.
3. Обработка персональных данных
3.1. Получение ПД.
3.1.1. Все ПД следует получать от самого субъекта. Если ПД субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.
3.1.2. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПД, характере подлежащих получению ПД, перечне действий с ПД, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.
3.1.3. Документы, содержащие ПД, создаются путем:
3.2. Обработка ПД.
3.2.1. Обработка персональных данных осуществляется:
3.2.2. Категории субъектов персональных данных.
Обрабатываются ПД следующих субъектов ПД:
3.2.3. Цели обработки персональных данных:
3.2.4. ПД, обрабатываемые Оператором:
3.2.5. Обработка персональных данных ведется:
3.3. Хранение ПД.
3.3.1. ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
3.3.2. ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
3.3.3. ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
3.3.4. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.
3.3.5. Порядок и сроки хранения ПД на Веб-решении:
Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
В случае удаления данных с Веб-решения по инициативе одной из сторон, а именно прекращения использования Веб-решения, персональные данные Пользователя хранятся в базах данных Оператора пять лет в соответствии с законодательством РФ.
По истечении вышеуказанного срока хранения персональных данных Пользователя персональные данные Пользователя удаляются автоматически заданным алгоритмом, который задает Оператор.
3.4. Блокирование персональных данных.
3.4.1. Под блокированием персональных данных понимается временное прекращение Оператором операций по их обработке по требованию Пользователя при выявлении им недостоверности обрабатываемых сведений или неправомерных, по мнению субъекта персональных данных, действий в отношении его данных.
3.4.2. Блокирование персональных данных на Веб-решении осуществляется на основании письменного заявления от субъекта персональных данных.
3.5. Уничтожение ПД.
3.5.1. Под уничтожением персональных данных понимаются действия, в результате которых становится невозможным восстановить содержание персональных данных и/или в результате которых уничтожаются материальные носители персональных данных.
3.5.2. Субъект персональных данных вправе в письменной форме требовать уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
3.5.3. Уничтожение документов (носителей), содержащих ПД, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера. ПД на электронных носителях уничтожаются путем стирания информации с использованием сертифицированного программного обеспечения с гарантированным уничтожением (в соответствии с заданными характеристиками для установленного программного обеспечения с гарантированным уничтожением).
3.5.4. В случае отсутствия возможности уничтожения персональных данных Общество осуществляет блокирование таких персональных данных
3.5.5. Факт уничтожения ПД подтверждается документально актом об уничтожении носителей.
3.6. Передача ПД.
3.6.1. Оператор передает ПД третьим лицам в следующих случаях:
3.6.2. Перечень лиц, которым передаются ПД. Третьи лица, которым передаются ПД:
4. Защита персональных данных
4.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационнораспорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
4.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
4.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.
4.5. Основными мерами защиты ПД, используемыми Оператором, являются:
4.5.1. Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПД.
4.5.2. Определение актуальных угроз безопасности ПД при их обработке в ИСПД и разработка мер и мероприятий по защите ПД.
4.5.3. Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД.
4.5.4. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.
4.5.5. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
4.5.6. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
4.5.7. Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ.
4.5.8. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
4.5.9. Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
4.5.10. Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.
4.5.11. Осуществление внутреннего контроля и аудита.
5. Основные права субъекта ПД и обязанности Оператора
5.1. Основные права субъекта ПД.
5.1.1 Субъект персональных данных имеет право требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.1.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
5.1.3 Обращения к оператору и направлению ему запросов.
5.1.4 Обжалование действий или бездействия оператора.
5.2. Обязанности Оператора.
Оператор обязан:
6. Сроки обработки (хранения) ПД
6.1. Сроки обработки (хранения) ПД определяются исходя из целей обработки ПД, в соответствии со сроком действия договора с субъектом ПД, требованиями федеральных законов, требованиями операторов ПД, по поручению которых Общество осуществляет обработку ПД, основными правилами работы архивов организаций, сроками исковой давности.
6.2. ПД, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом. Хранение ПД после прекращения их обработки допускается только после их обезличивания.
7. Порядок получения разъяснений по вопросам обработки ПД
7.1. Лица, чьи Данные обрабатываются Обществом, могут получить разъяснения по вопросам обработки своих ПД, обратившись лично в Общество или направив соответствующий письменный запрос по адресу местонахождения Общества.
7.2. В случае направления официального запроса в Общество в тексте запроса необходимо указать:
фамилию, имя, отчество субъекта ПД или его представителя;
номер основного документа, удостоверяющего личность субъекта ПД или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
сведения, подтверждающие наличие у субъекта ПД отношений с Обществом;
информацию для обратной связи с целью направления Обществом ответа на запрос;
подпись субъекта ПД (или его представителя).
Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
8. Особенности обработки и защиты ПД, собираемых Обществом с использованием сети Интернет
8.1. Общество обрабатывает и защищает ПД, поступающие от пользователей Веб-решения, в том числе ПД Кандидатов на вакантные должности с ресурса: https://mebel-76.ru и его поддоменах, а также поступающие на адреса корпоративной почты Общества.
8.2. Сбор ПД Существуют два основных способа, с помощью которых Общество получает Данные с помощью сети Интернет:
8.2.1. Предоставление ПД.
Предоставление ПД (включая фамилию, имя, должность, место работы, должность, контактный телефон, адрес электронной почты, адрес и др.) субъектами ПД путем заполнения соответствующих форм на Веб-решении и посредством направления электронных писем на корпоративные адреса Общества.
8.2.2. Автоматически собираемая информация
Общество может собирать и обрабатывать сведения, не являющимися персональными данными:
8.3. Использование ПД
Общество вправе пользоваться предоставленными Данными в соответствии с заявленными целями их сбора при наличии согласия субъекта ПД, если такое согласие требуется в соответствии с требованиями законодательства Российской Федерации в области ПД.
Полученные Данные в обобщенном и обезличенном виде могут использоваться для лучшего понимания потребностей покупателей товаров и услуг, реализуемых Обществом и улучшения качества обслуживания.
8.4. Передача ПД
Общество может поручать обработку ПД третьим лицам исключительно с согласия субъекта ПД.
Также Данные могут передаваться третьим лицам в следующих случаях:
а) B качестве ответа на правомерные запросы уполномоченных государственных органов, в соответствии с законами, решениями суда и пр.
б) Данные не могут передаваться третьим лицам для маркетинговых, коммерческих и иных аналогичных целей, за исключением случаев получения предварительного согласия субъекта ПД.
8.5. Веб-решение содержит ссылки на иные веб-ресурсы, где может находиться полезная и интересная для пользователей Веб-решения информация, в том числе, но не ограничиваясь этим списком, ссылки на такие ресурсы как: Apple App Store, Google Play, Huawei AppGallery. При этом действие настоящего Положения не распространяется на такие иные сайты. Пользователям, переходящим по ссылкам на другие сайты, рекомендуется ознакомиться с политиками об обработке ПД, размещенными на таких сайтах.
8.6. Пользователь Веб-решения может в любое время отозвать свое согласие на обработку ПД, направив письменное уведомление по адресу Общества.
После получения такого сообщения обработка ПД пользователя будет прекращена, а его Данные будут удалены, за исключением случаев, когда обработка может быть продолжена в соответствии с законодательством.
9. Заключительные положения
9.1. Настоящее Положение является локальным нормативным актом Общества. Настоящее Положение является общедоступным. Общедоступность настоящего Положения обеспечивается публикацией на Веб-решении Общества.
9.2. Настоящее Положение может быть пересмотрена в любом из следующих случаев:
9.3. В случае изменения действующего законодательства РФ, внесения изменений в нормативные документы по защите персональных данных настоящее Положение действует в части, не противоречащей действующему законодательству до приведения его в соответствие с такими.
9.4. Условия настоящего Положения устанавливаются, изменяются и отменяются Оператором в одностороннем порядке без предварительного уведомления Пользователя. С момента размещения на Веб-решении новой редакции Положения предыдущая редакция считается утратившей свою силу. В случае существенного изменения условий настоящего Соглашения Оператор извещает об этом Пользователей путем размещения на Веб-решении соответствующего сообщения.
9.5. В случае неисполнения положений настоящего Положения Общество и ее работники несут ответственность в соответствии с действующим законодательством Российской Федерации.
9.6. Контроль исполнения требований настоящего Положения осуществляется лицами, ответственными за организацию обработки ПД Общества, а также за безопасность персональных данных.