Политика конфиденциальности
ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ
ООО «КОМПАНИЯ «АКВА-МИР»
ООО «Компания «Аква-Мир» является оператором, который организует и осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, подлежащих обработке, и порядок действий, совершаемых с персональными данными.
Настоящая Политика конфиденциальности в отношении обработки и хранения персональных данных клиентов ООО «Компания «Аква-Мир», иных лиц, имеющих отношение к клиентам, а также пользователей сайта, принадлежащего ООО «Компания «Аква-Мир» (далее – Политика) в отношении обработки и защиты персональных данных, является внутренним документом ООО «Компания «Аква-Мир».
Поскольку ООО «Компания «Аква-Мир» осуществляет обработку персональных данных с использованием сети «Интернет», неограниченный доступ к настоящей Политике конфиденциальности обеспечивается посредством опубликования (размещения) ее на сайте ООО «Компания «Аква-Мир»: www.akwa-mir.ru. Автоматический переход к тексту Политики конфиденциальности осуществляется по внутренним ссылкам сайта, запрашивающим согласие на предоставление персональных данных.
Политика определяет правила и порядок обработки и хранения персональных данных (ПД) клиентов - лиц, заключивших договоры поставки, аренды, купли-продажи и т.д., с ООО «Компания «Аква-Мир», иных лиц, имеющих отношение к клиентам, действующих по доверенности от имени клиентов и других лиц, имеющих отношение к клиентам ООО «Компания «Аква-Мир» и пользователей корпоративного сайта ООО «Компания «Аква-Мир»: www.akwa-mir.ru, разместивших свои персональные данные на сайте.
Политика определяет обработку ПД в информационных системах (ИС) обработки персональных данных и в неавтоматизированном виде.
Настоящая Политика разработана в соответствии с:
- Конституцией Российской Федерации;
- Гражданским кодексом Российской Федерации;
- Трудовым кодексом Российской Федерации;
- Налоговым кодексом Российской Федераии;
- Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных»;
- Федеральным законом от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и защите информации»;
- Постановлением Правительства Российской Федерации от 1 ноября 2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановлением Правительства Российской Федерации от 15 сентября 2008 года №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Приказом ФСТЭК России от 18 февраля 2013 года №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Цель разработки Политики — определение порядка обработки и защиты персональных данных всех Клиентов ООО «Компания «Аква-Мир», данные которых подлежат обработке; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
ООО «Компания «Аква-Мир» не использует услуги хостинговых компаний и поддерживает сохранность персональных данных клиентов собственными силами, поэтому соблюдение положений настоящей Политики и иных, регламентирующих работу сайта локальных документов, гарантирует Вам безопасность ваших персональных данных.
Настоящая Политика вступает в силу с момента ее утверждения Генеральным директором ООО «Компания «Аква-Мир» и действует бессрочно, до замены ее новым документом.
Изменения в Политику вносятся на основании Приказов Генерального директора ООО «Компания «Аква-Мир».
Далее по тексту ООО «Компания «Аква-Мир» именуется – «Оператор ПД».
- ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
Оператор ПД– ООО «Компания «Аква-Мир» - юридическое лицо, самостоятельно организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Клиент – полностью дееспособное физическое лицо (в том числе: представитель физического лица, индивидуальный предприниматель, представитель индивидуального предпринимателя, руководитель или иной уполномоченный представитель юридического лица), находящееся в договорных отношениях с Оператором ПД и предоставившее свои ПД для обработки в добровольном порядке. Указанное в качестве получателя Товара, либо использующее Товары, приобретенные на сайте исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности.
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных клиента определенному лицу или определенному кругу лиц (п. 6 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
Распространение персональных данных - действия, направленные на раскрытие персональных данных клиента неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
Блокирование персональных данных - временное прекращение обработки персональных данных клиентов (за исключением случаев, если обработка необходима для уточнения персональных данных) (п. 7 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных клиента и (или) в результате которых уничтожаются материальные носители персональных данных клиентов (п. 8 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ);
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному лицу (п. 9 ст. 3 Федерального закона от 27.07.2006 № 152- ФЗ);
Информация - сведения (сообщения, данные) независимо от формы их представления;
Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
|
Интернет-магазин - Интернет-сайт, принадлежащий Оператору ПД (продавец), расположенный на сервере в г. Брянск и имеющий адрес в сети Интернет. На нем представлены товары, предлагаемые Продавцом своим Клиентам для оформления Заказов, а также условия оплаты и доставки этих Заказов Клиентам.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. ООО «Компания «Аква-Мир» использует сертифицированную и лицензированную программу 1 С Предприятие, имеющую высокую степень защиты и определенный ограниченный круг доступа.
Субъект – физическое лицо, которое прямо или косвенно определено или определяемо с помощью ПД.
Роскомнадзор – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), которая является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки ПД требованиям законодательства Российской Федерации в области персональных данных, а также функции по организации деятельности радиочастотной службы.
Система защиты персональных данных – совокупность программных, аппаратных и технических средств защиты информации, используемых для обеспечения информационной безопасности информационных систем.
Сотрудник, ответственный за организацию обработки персональных данных – сотрудник Оператора ПД назначенный ответственным за организацию обработки и обеспечение защиты ПД у Оператора ПД.
Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПД, а также иные неправомерные действия при их обработке в информационной системе персональных данных.
Уровень защищённости – под уровнем защищённости персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПД при их обработке в информационных системах персональных данных.
Иное лицо - физическое лицо, не являющееся клиентом Оператора ПД, однако являющееся стороной (продавцом, покупателем, представителем) в договоре с клиентом, передающее свои ПД Оператор ПД на основании согласия на обработку ПД.
- ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Основание и цели обработки ПД на предприятии устанавливаются в соответствии с типом субъекта:
Клиент – на основании согласия субъекта на обработку ПД и для достижения следующих целей:
- обеспечение соблюдения законов и иных нормативно-правовых актов;
-заключение и обеспечении трудовых договоров;
- исполнение договорных отношений между Оператором ПД и субъектом ПД.
В состав персональных данных Клиентов, в том числе входят:
- Фамилия, имя, отчество.
- Год рождения.
- Месяц рождения.
- Дата рождения.
- Место рождения.
- Паспортные данные
- Адрес электронной почты.
- Номер телефона (домашний, сотовый).
Оператором ПД могут создаваться (создаются, собираются) и хранятся следующие документы и сведения, в том числе в электронном виде, содержащие данные о Клиентах:
- Договоры.
- Записи телефонных переговоров.
3.Копии документов, удостоверяющих личность, а также иных документов, предоставляемых Клиентом, и содержащих персональные данные.
- Данные по оплатам заказов (товаров/услуг), содержащие платежные и иные реквизиты Клиента.
Иные лица, имеющие отношение к клиенту – действующие от имени клиента по доверенности, члены семьи, и другие - на основании согласия субъекта на обработку ПД или на ином законном основании и для достижения следующих целей:
- обеспечение соблюдения законов и иных нормативно-правовых актов;
- исполнение договорных отношений между Оператором ПД и клиентом.
Пользователи сайта Оператора ПД:
- для информационного обеспечения Оператора ПД, клиентов Оператора ПД и других пользователей сайта Оператора ПД персональными данными сделанными общедоступными самим субъектом персональных данных посредством размещения их им самим на сайте.
Субъект предоставляет ПД в объёме, необходимом для достижения целей.
Субъект даёт согласие Предприятию на обработку своих ПД:
Путем добровольного размещение непосредственно субъектом своих ПД на корпоративном сайте Оператора ПД подтверждает согласие субъекта на обработку его персональных данных Оператором ПД и не требует его письменного согласия на обработку.
Согласие субъекта должно содержать следующие сведения:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых даётся согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых даётся согласие, общее описание используемых оператором способов обработки ПД.
- КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Перечень персональных данных, подлежащих защите Оператором ПД формируется в соответствии с федеральным законодательством о персональных данных.
- Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
- В зависимости от субъекта персональных данных, Оператор ПД обрабатывает персональные данные следующих категорий субъектов персональных данных:
персональные данные работников Оператора ПД - информация, необходимая в связи с трудовыми отношениями и касающиеся конкретного работника Оператора ПД;
персональные данные руководителей подведомственных предприятий, необходимые Оператору ПД для отражения в отчетных документах о деятельности Оператора ПД в соответствии с требованиями федеральных законов, нормативных документов Правительства города Брянска и иных нормативных правовых актов.
персональные данные руководителя или сотрудника юридического лица, являющегося контрагентом Оператора ПД, необходимые Оператору ПД для выполнения своих обязательств в рамках договорных отношений с контрагентом и для выполнения требований законодательства Российской Федерации.
граждан, обращающихся к Оператору ПД в соответствии с Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан в Российской Федерации»
- УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТСТВЕННЫЙ ЗА ОБРАБОТКУ ПД
Оператором ПД осуществляется автоматизированная и неавтоматизированная обработка ПД субъектов.
Обработка персональных данных клиента и иных лиц, имеющих отношение к клиенту, прекращается в течение 30 дней с момента достижения целей обработки. В дальнейшем ПД хранятся на бумажных носителях и в информационной системе Оператора ПД, в архивных папках. Срок хранения ПД, в том числе Согласий на обработку определяются в соответствии со сроком действия договора с субъектом персональных данных, Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», а также иными требованиями законодательства РФ и нормативными документами.
Постановлением Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». для клиентов и иных лиц, имеющих отношение к Клиентам: 6 лет с момента заключения договоров с Оператором ПД (для клиентов) и 6 лет с момента обращения к Оператору ПД (иных лиц, имеющих отношение к клиентам). Пользователи корпоративного сайта Оператора ПД, передавшие свои ПД для размещения в общедоступной информационной системе сами, в любой момент могут удалить эти данные.
Любые действия с ПД субъекта без письменного его согласия или любого другого основания, установленного Федеральным законом №152-ФЗ «О персональных данных», запрещены.
Сбор специальных категорий ПД субъектов, в том числе информации об их расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни Оператор ПД не производит.
Сотрудники Оператора ПД, допущенные к обработке ПД, проходят инструктаж и соблюдают нормы законодательства в области защиты ПД и локальных нормативно-правовых актов Оператора ПД. Сотрудники, не прошедшие инструктаж, к обработке ПД не допускаются.
В случае выявления недостоверных ПД или неправомерных действий с ними при обращении или по запросу субъекта, Оператор ПД обязан осуществить блокирование ПД в соответствии с действующим законодательством.
В случае подтверждения факта неточности персональных данных Оператор ПД на основании сведений, представленных субъектом, его представителем, либо уполномоченным органом по защите прав субъектов ПД, или иных необходимых документов, обязан уточнить ПД в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
Уничтожение ПД производится под контролем должностного лица, ответственного за организацию обработки ПД. Об уничтожении составляется акт.
В случае отзыва субъектом согласия на обработку его ПД, Оператор ПД обязан прекратить их обработку в случае, если сохранение ПД более не требуется для целей обработки ПД и не противоречит законодательству или прекратить их обработку в части. Оператор ПД обязан уничтожить ПД или часть персональных данных в срок, не превышающий тридцати дней с даты поступления указанного отзыва.
Субъект персональных данных предоставляет Оператору ПД достоверные сведения о себе.
К обработке персональных данных Клиентов могут иметь доступ только сотрудники Оператора ПД, допущенные к работе с персональными данными Клиента и подписавшие Соглашение о неразглашении персональных данных Клиента.
Право доступа к персональным данным Клиента имеют:
- Генеральный директор Оператора ПД;
- Работники, ответственные за ведение финансовых расчетов (менеджер, бухгалтер).
- Работники Отдела по работе с Клиентами (начальник отдела продаж, менеджер).
- Работники IT (коммерческий директор, системный администратор).
- Клиент, как субъект персональных данных.
Поименный перечень сотрудников Оператора ПД, имеющих доступ к персональным данным Клиентов, определяется приказом Генерального директора Оператора ПД.
Обработка персональных данных Клиента может осуществляться исключительно в целях установленных Политикой и соблюдения законов и иных нормативных правовых актов РФ.
При определении объема и содержания, обрабатываемых персональных данных Оператор ПД руководствуется Конституцией Российской Федерации, законом о персональных данных, и иными федеральными законами.
Оператор ПД назначает сотрудника, ответственного за организацию обработки ПД.
Сотрудник, ответственный за организацию обработки ПД обязан:
- Осуществлять внутренний контроль за соблюдением Оператором ПД и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
- Доводить до сведения работников Оператора ПД положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, внутренних требований к защите персональных данных;
- Проводить инструктаж по вопросам ПД;
- Координировать работы по защите ПД.
- Организовывать приём и обработку обращений и запросов субъектов или их представителей и (или) осуществлять контроль за приёмом и обработкой таких обращений и запросов;
- Вести журнал учёта запросов и ответов на запросы по вопросам ПД и инцидентов, связанных с ПД субъектов.
- ПОРЯДОК РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ (получение, обработка, защита, хранение, доступ, передача).
Порядок получения (сбора) персональных данных:
Все персональные данные Клиента следует получать у него лично с его письменного согласия, кроме иных случаев, предусмотренных законами РФ.
Согласие Клиента на использование его персональных данных хранится у Оператора ПД в бумажном и/или электронном виде.
Согласие субъекта на обработку персональных данных действует в течение всего срока действия договоров, а также в течение 5 лет с даты прекращения действия договорных отношений Клиента с Оператором ПД. По истечении указанного срока действие согласия считается продленным на каждые следующие пять лет при отсутствии сведений о его отзыве.
Если персональные данные Клиента возможно получить только у третьей стороны, Клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Третье лицо, предоставляющее персональные данные Клиента, должно обладать согласием субъекта на передачу персональных данных Оператора ПД.
Оператор ПД обязан сообщить Клиенту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Клиента персональных данных дать письменное согласие на их получение.
Обработка персональных данных клиентов:
Источником информации обо всех персональных данных клиентов является непосредственно клиент. Если персональные данные возможно получить только у третьей стороны, то Оператор ПД должен быть заранее в письменной форме уведомлен об этом.
Оператор ПД не имеет права получать и обрабатывать персональные данные клиента о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ вправе получать и обрабатывать данные о частной жизни клиента только с его письменного согласия.
Обработка персональных данных клиентов возможна только с их согласия либо без их согласия в следующих случаях:
- персональные данные являются общедоступными;
- по требованию полномочных государственных органов - в случаях, предусмотренных федеральным законом.
Письменное согласие клиента на обработку своих персональных данных должно включать в себя:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
Согласие клиента не требуется в следующих случаях:
- обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке;
- обработка персональных данных в целях исполнения договора;
- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов клиента, если получение его согласия невозможно.
Клиент представляет Оператору ПД достоверные сведения о себе.
Защита персональных данных:
Под защитой персональных данных Клиента понимается комплекс мер (организационно-распорядительных, технических, юридических), направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных субъектов, а также от иных неправомерных действий.
Защита персональных данных Клиента осуществляется за счёт Оператора ПД в порядке, установленном федеральным законом РФ.
Оператор ПД при защите персональных данных Клиентов принимает все необходимые организационно-распорядительные, юридические и технические меры, в том числе:
- Антивирусная защита.
- Анализ защищённости.
- Обнаружение и предотвращение вторжений.
- Управления доступом.
- Регистрация и учет.
- Обеспечение целостности.
- Организация нормативно-методических локальных актов, регулирующих защиту персональных данных.
Общую организацию защиты персональных данных Клиентов осуществляет Генеральный директор Оператора ПД.
Защита персональных данных Клиентов, хранящихся в электронных базах данных от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается Системным администратором.
Доступ к персональным данным Клиента: имеют сотрудники Оператора ПД, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.
Все сотрудники, связанные с получением, обработкой и защитой персональных данных Клиентов, обязаны подписать Соглашение о неразглашении персональных данных Клиентов.
Процедура оформления доступа к персональным данным Клиента включает в себя:
- Ознакомление сотрудника под роспись с настоящей Политикой. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Клиента, с данными актами также производится ознакомление под роспись.
- Истребование с сотрудника (за исключением Генерального директора) письменного обязательства о соблюдении конфиденциальности персональных данных Клиентов и соблюдении правил их обработки в соответствии с внутренними локальными актами Оператора ПД, регулирующих вопросы обеспечения безопасности конфиденциальной информации.
Сотрудник Оператора ПД, имеющий доступ к персональным данным Клиентов в связи с исполнением трудовых обязанностей:
- Обеспечивает хранение информации, содержащей персональные данные Клиента, исключающее доступ к ним третьих лиц.
- В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Клиентов.
- При уходе в отпуск, во время служебной командировки и в иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные Клиентов лицу, на которое локальным актом Оператора ПД (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.
- В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные Клиентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов по указанию Генерального директора Оператора ПД.
- При увольнении сотрудника, имеющего доступ к персональным данным Клиентов, документы и иные носители, содержащие персональные данные Клиентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов по указанию Генерального директора.
Хранение персональных данных:
Персональные данные Клиентов на бумажных носителях хранятся в сейфах.
Персональные данные Клиентов в электронном виде хранятся в локальной компьютерной сети Оператора ПД, в электронных папках и файлах в персональных компьютерах Генерального директора и сотрудников, допущенных к обработке персональных данных Клиентов.
Документы, содержащие персональные данные Клиентов, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа. В конце рабочего дня все документы, содержащие персональные данные Клиентов, помещаются в шкафы (сейфы), обеспечивающие защиту от несанкционированного доступа.
Защита доступа к электронным базам данных, содержащим персональные данные Клиентов, обеспечивается:
- Использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный вход в локальную сеть Оператора ПД.
- Разграничением прав доступа с использованием учетной записи.
- Двух ступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются Системным администратором Оператора ПД и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным Клиентов.
Несанкционированный вход в ПК, в которых содержатся персональные данные Клиентов, блокируется паролем, который устанавливается Системным администратором и не подлежит разглашению.
Все электронные папки и файлы, содержащие персональные данные Клиентов, защищаются паролем, который устанавливается ответственным за ПК сотрудником Оператора ПД и сообщается Системному администратору.
Изменение паролей Системным администратором осуществляется не реже 1 раза в 3 месяца.
Копировать и делать выписки персональных данных Клиента разрешается исключительно в служебных целях с письменного разрешения Генерального директора Оператора ПД.
Ответы на письменные запросы других организаций и учреждений о персональных данных Клиентов даются только с письменного согласия самого Клиента, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Оператора ПД, и в том объеме, который позволяет не разглашать излишний объем персональных данных Клиента.
Сроки хранения персональных данных:
Сроки хранения гражданско-правовых договоров, содержащих персональные данные Клиентов, а также сопутствующих их заключению, исполнению документов - 5 лет с момента окончания действия договоров.
В течение срока хранения персональные данные не могут быть обезличены или уничтожены.
По истечении срока хранения персональные данные могут быть обезличены в информационных системах и уничтожены на бумажном носителе в порядке установленном действующим законодательством РФ. (Приложение Акт об уничтожении персональных данных)
Передача персональных данных
При передаче персональных данных клиента Оператором ПД должны соблюдаться следующие требования:
Не сообщать персональные данные третьей стороне без письменного согласия клиента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью клиента, а также в случаях, установленных федеральным законом.
Не сообщать персональные данные клиента в коммерческих целях без его письменного согласия. Обработка персональных данных клиентов в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
Предупредить лиц, получивших персональные данные клиента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено.
Разрешать доступ к персональным данным клиентам только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
Не запрашивать информацию о состоянии здоровья клиента, за исключением тех сведений, которые относятся к вопросу о возможности выполнения клиентом своих обязанностей.
Передавать персональные данные клиента его законным, полномочным представителям в порядке, установленном законом и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
Персональные данные клиентов обрабатываются и хранятся по адресу местонахождения Оператора ПД.
Персональные данные могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).
- ПОРЯДОК УТИЛИЗАЦИИ ПЕРСОНАЛЬНЫХ ДАННЫХ (блокировка, обезличивание, уничтожение)
Блокировка персональных данных Клиентов осуществляется с письменного заявления Клиента.
Блокировка персональных данных подразумевает:
- Запрет редактирования персональных данных.
- Запрет распространения персональных данных любыми средствами (e-mail, сотовая связь, материальные носители).
- Запрет использования персональных данных в массовых рассылках (sms, e-mail, почта).
- Изъятие бумажных документов, относящихся к Клиенту и содержащих его персональные данные из внутреннего документооборота Оператора ПД и запрет их использования.
Блокировка персональных данных Клиента может быть временно снята, если это требуется для соблюдения законодательства РФ.
Разблокировка персональных данных Клиента осуществляется с его письменного согласия (при наличии необходимости получения согласия) или заявления Клиента.
Повторное согласие Клиента на обработку его персональных данных (при необходимости его получения) влечет разблокирование его персональных данных.
Порядок обезличивания и уничтожения персональных данных:
Обезличивание персональных данных Клиента происходит по письменному заявлению Клиента, при условии, что все договорные отношения завершены и от даты окончания последнего договора прошло не менее 5 лет.
При обезличивании персональные данные в информационных системах заменяются набором символов, по которому невозможно определить принадлежность персональных данных к конкретному Клиенту.
Бумажные носители документов при обезличивании персональных данных уничтожаются.
Оператор ПД обязан обеспечить конфиденциальность в отношении персональных данных при необходимости проведения испытаний информационных систем на территории разработчика и произвести обезличивание персональных данных в передаваемых разработчику информационных системах.
Уничтожение персональных данных Клиента подразумевает прекращение какого-либо доступа к персональным данным Клиента.
При уничтожении персональных данных Клиента работники Оператора ПД не могут получить доступ к персональным данным субъекта в информационных системах.
Бумажные носители документов при уничтожении персональных данных уничтожаются, персональные данные в информационных системах обезличиваются. Персональные данные восстановлению не подлежат.
Операция уничтожения персональных данных необратима.
- ОСОБЕННОСТИ НЕАВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
К бумажным носителям ПД относятся:
- Договоры поставки, купли-продажи, аренды, технического обслуживания и т.д,, приложения к ним, Предварительные договоры, Соглашения к договорам, гарантийные письма, в случае если они содержат ПД и позволяют идентифицировать субъекта;
- Ксерокопии документов, удостоверяющих личность субъекта;
- Другие бумажные носители, содержащие ПД субъектов (ксерокопии технических и правоустанавливающих документов, анкеты клиентов и др).
Оператором ПД установлены следующие требования к хранению бумажных носителей ПД:
- бумажные носители ПД хранятся в специально отведенных местах, определяемых руководителем Оператор ПД, за сохранность документов несут ответственность сотрудники, ответственные за организацию обработки персональных данных;
- запрещается хранение бумажных носителей ПД в местах, доступных для ознакомления посторонними лицами;
Оператор ПД установил следующие требования к уничтожению бумажных носителей ПД:
- уничтожение бумажных носителей ПД может проводиться при помощи технических средств (уничтожителей бумаги) или путём разрезания вручную. При этом должна быть обеспечена невозможность восстановления ПД из остатков носителя;
- уничтожение бумажных носителей должно проходить в присутствии ответственного за организацию обработки ПД и должно оформляться актом.
- Не допускается фиксация на одном бумажном носителе ПД, цели обработки которых заведомо не совместимы. В случае обработки различных категорий ПД, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
ПРАВА И ОТВЕТСТВЕННОСТЬ СТОРОН
Оператор ПД вправе:
- Отстаивать свои интересы в суде.
- Предоставлять персональные данные Клиентов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.).
- Отказать в предоставлении персональных данных в случаях, предусмотренных законом.
- Использовать персональные данные Клиента без его согласия, в случаях предусмотренных законодательством РФ.
Клиент имеет право:
- Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- Требовать перечень обрабатываемых персональных данных, имеющихся у Оператора ПД и источник их получения.
- Получать информацию о сроках обработки персональных данных, в том числе о сроках их хранения.
- Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
- Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.
Ответственность за нарушение норм, регулирующих обработку персональных данных:
Работники Оператора ПД, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных несут дисциплинарную, административную, гражданско-правовую ответственность в соответствии с действующем законодательством Российской Федерации и внутренними локальными актами Оператора ПД.
Работники Оператора ПД не несут ответственность по каким-либо прямым, случайным, логически вытекающим, непрямым, особым или штрафным убыткам, расходам, потерям Клиентов, ставших следствием нарушений пользовательского соглашения и правил пользования сайтом Оператора ПД.
В максимальном объеме, допустимом применимым правом, в Клиент однозначно отказываетесь от всех претензий к Оператору ПД, должностным лицам, директорам, сотрудникам, поставщикам и программистам, которые могут возникнуть в связи с использованием или доступом Интернет-сайта Оператора ПД.
- ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Оператор ПД оставляет за собой право вносить изменения в настоящую Политику. Изменения вносятся путем издания новой редакции настоящей Политики. Новая редакция Политики вступает в силу со дня её утверждения. Предыдущая редакция теряет силу с момента утверждения новой редакции.
Иные локальные нормативные акты Оператора ПД должны издаваться в соответствии с настоящей Политикой и законодательством в области персональных данных.
Вопросы, не урегулированные настоящим Политикой, разрешаются в соответствии с законодательством Российской Федерации. В отношении защиты субъектов персональных данных граждан иных стран (не Российской Федерации) Операторм ПД могут учитываться положения законодательства страны, гражданином которой является субъект персональных данных.