1. Общие положения
1.1. Настоящая политика (далее — Политика) разработана в соответствии со ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О ПДн» (далее — Закон о ПДн) и является основополагающим внутренним регулятивным документом ИП Киселева Анастасия Васильевна (далее — Организация), определяющим политику в области обработки и защиты ПДн (далее — ПДн), оператором которых является Организация.
1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты ПДн и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн в Организации.
1.3. Положения Политики распространяются на отношения по обработке и защите ПДн, полученных Организацией как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПДн, полученных до ее утверждения. Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (в том числе доступу, распространению, предоставлению), обезличиванию, блокированию, удалению, уничтожению, осуществляемых с использованием средств автоматизации и без использования таких средств.
1.4. Обработка ПДн в Организации осуществляется в связи с осуществлением предпринимательской деятельности по розничной торговле, с заключением договоров розничной купли-продажи. Обработка ПДн в Организации осуществляется в ходе трудовых и иных непосредственно связанных с ними отношений, в которых Организация выступает в качестве работодателя (в данном случае обрабатываются ПДн лиц, претендующих на трудоустройство в Организацию и работников Организации и бывших работников). В связи с реализацией своих прав и обязанностей как юридического лица, Организацией обрабатываются ПДн физических лиц, являющихся контрагентами (возможными контрагентами) Организации по гражданско-правовым договорам, ПДн руководителей, членов коллегиальных исполнительных органов и представителей юридических лиц, ПДн иных физических лиц, чьи ПДн подлежат обработке в связи с деятельностью Организации.
1.5. Так, основными целями обработки ПДн являются:
- исполнение прав и обязанностей Организации в качестве работодателя, ведения кадровой работы;
- заключения и исполнения договора розничной купли-продажи с Покупателем – субъектом персональных данных;
- рассылки новостей и информации о товарах, услугах, акциях, новинках и т.д.
1.6. Для целей осуществления прав и обязанностей работодателя обрабатываются следующие категории данных: Ф.И.О., контактный телефон, адрес, электронная почта, пол, дата рождения.
Для целей заключения и исполнения договора розничной купли-продажи обрабатываются следующие категории данных: Ф.И.О., контактный телефон, адрес, электронная почта.
Для целей рассылки новостей и информации о товарах, услугах, акциях, новинках и т.д. обрабатываются следующие категории данных: Ф.И.О., контактный телефон, адрес, электронная почта.
1.7. В целях исполнения возложенных на Организацию функций Организация в установленном порядке вправе поручить обработку ПДн третьим лицам. В договоры с лицами, которым Организации поручает обработку ПДп, включаются условия, обязывающие таких лиц соблюдать предусмотренные законодательством требования к обработке и защите ПДн.
1.8. В Организации не производится обработка ПДн, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки ПДн в Организации, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатываются Организацией ПНд уничтожаются или обезличиваются.
1.9. При обработке ПДн обеспечиваются их точность, достаточность, а при необходимости — и актуальность по отношению к целям обработки. Организация принимает необходимые меры по удалению или уточнению неполных или неточных ПДн.
2. Термины и определения
2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
2.2. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.3. Обработка ПДн — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
2.4. Автоматизированная обработка ПДн — обработка ПДн с помощью средств вычислительной техники.
2.5. Распространение ПДн — действия, направленные на раскрытие ПДн неопределенному кругу лиц.
2.6. Предоставление ПДн — действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
2.7. Блокирование ПДн — временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
2.8. Уничтожение ПДн — действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.
2.9. Обезличивание ПДн — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
3. Основные принципы и условия обработки ПДн
3.1. Обработка ПДн должна осуществляться на законной и справедливой основе.
3.2. Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн. Обработке подлежат только ПДн, которые отвечают целям их обработки. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
3.3. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
3.4. При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Организация должна принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
3.5. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.6. Обработка ПДн допускается в следующих случаях, когда обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн, а также в других случаях предусмотренных законом.
3.7. Организация вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку ПДн по поручению Организации, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Законом о ПДн. Лицо, осуществляющее обработку ПДн по поручению Организации, не обязано получать согласие субъекта ПДн на обработку его ПДн. В случае, если Организация поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Организация. Лицо, осуществляющее обработку ПДн по поручению Организации, несет ответственность перед Организацией.
3.8. Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн должно быть конкретным, информированным и сознательным. Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона о ПДн.
3.9. Субъект ПДн имеет права, предусмотренные Законом о ПДн, а Организация обязуется исполнять обязанности, возложенные на нее Законом о ПДн.
4. Принципы обеспечения безопасности ПДн
4.1. Основной задачей обеспечения безопасности ПДн при их обработке в Организации является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПДн, разрушения (уничтожения) или искажения их в процессе обработки.
4.2. Для обеспечения безопасности ПДн Организация руководствуется следующими принципами:
- Законность: защита ПДн основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты ПДн.
- Системность: обработка ПДн в Организации осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПДн.
- Комплексность: защита ПДн строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Организации (далее — ИС) и других имеющихся в Организации систем и средств защиты.
- Непрерывность: защита ПДн обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки ПДн, в том числе при проведении ремонтных и регламентных работ.
- Своевременность: меры, обеспечивающие надлежащий уровень безопасности ПДн, принимаются до начала их обработки.
- Персональная ответственность: ответственность за обеспечение безопасности ПДн возлагается на Работников в пределах их обязанностей, связанных с обработкой и защитой ПДн.
- Минимизация прав доступа: доступ к ПДн предоставляется Работникам только в объеме, необходимом для выполнения их должностных обязанностей.
- Эффективность процедур отбора кадров и выбора контрагентов: кадровая политика Организации предусматривает тщательный подбор персонала и мотивацию Работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности ПДн. Минимизация вероятности возникновения угрозы безопасности ПДн, источники которых связаны с человеческим фактором, обеспечивается получением наиболее полной информации о контрагентах Организации до заключения договоров.
5. Меры по обеспечению безопасности ПДн при их обработке
5.1. Доступ к обрабатываемым в Организации ПДн имеют лица, уполномоченные приказом Организации, лица, которым Организации поручает обработку ПДн на основании заключенного договора, а также лица, чьи ПДн подлежат обработке.
5.2. Доступ Работников к обрабатываемым ПДн осуществляется в соответствии с их должностными обязанностями и требованиями внутренних регулятивных документов Организации. Допущенные к обработке ПДн Работники под роспись знакомятся с документами Организации, устанавливающими порядок обработки ПДн, включая настоящую Политику и документы, устанавливающие права и обязанности конкретных Работников.
5.3. Организация принимает правовые, организационные и технические меры (или обеспечивает их принятие), необходимые и достаточные для обеспечения исполнения обязанностей, предусмотренных Законом о ПДн и принятыми в соответствии с ним нормативными правовыми актами, для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
5.4. Обеспечение защиты ПДн в Организации при их обработке, осуществляемой без использования средств автоматизации, достигается, в частности, путем:
- Обособления ПДн от иной информации.
- Недопущения фиксации на одном материальном носителе ПДн, цели обработки которых заведомо несовместимы.
- Использования отдельных материальных носителей для обработки каждой категории ПДн.
- Принятия мер по обеспечению раздельной обработки ПДн при несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн.
6. Гарантии конфиденциальности
6.1. Информация, относящаяся к ПДн, ставшая известной в связи с реализацией трудовых отношений и в связи с осуществлением предпринимательской деятельности, является конфиденциальной информацией и охраняется законом.
6.2. Работники Организации и иные лица, получившие доступ к обрабатываемым ПДн, предупреждены о возможной дисциплинарной, административной, гражданско–правовой или уголовной ответственности в случае нарушения норм и требований действующего законодательства, регулирующего правила обработки и защиты ПДн.
7. Изменения настоящей политики
7.1. Настоящая Политика может быть дополнена или изменена. В случае внесения в настоящую Политику существенных изменений, к ним обеспечивается неограниченный доступ всем заинтересованным субъектам ПДн.