Политика конфиденциальности

ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ
ООО «КОМПАНИЯ «АКВА-МИР»

ООО «Компания «Аква-Мир» является оператором, который организует и осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, подлежащих обработке, и порядок действий, совершаемых с персональными данными.

Настоящая Политика конфиденциальности в отношении обработки и хранения персональных данных клиентов ООО «Компания «Аква-Мир», иных лиц, имеющих отношение к клиентам, а также пользователей сайта, принадлежащего ООО «Компания «Аква-Мир» (далее – Политика) в отношении обработки и защиты персональных данных, является внутренним документом ООО «Компания «Аква-Мир».

Поскольку ООО «Компания «Аква-Мир» осуществляет обработку персональных данных с использованием сети «Интернет», неограниченный доступ к настоящей Политике конфиденциальности обеспечивается посредством опубликования (размещения) ее на сайте ООО «Компания «Аква-Мир»: www.akwa-mir.ru. Автоматический переход к тексту Политики конфиденциальности осуществляется по внутренним ссылкам сайта, запрашивающим согласие на предоставление персональных данных.

Политика определяет правила и порядок обработки и хранения персональных данных (ПД) клиентов - лиц, заключивших договоры поставки, аренды, купли-продажи и т.д., с ООО «Компания «Аква-Мир», иных лиц, имеющих отношение к клиентам, действующих по доверенности от имени клиентов и других лиц, имеющих отношение к клиентам ООО «Компания «Аква-Мир» и пользователей корпоративного сайта ООО «Компания «Аква-Мир»: www.akwa-mir.ru, разместивших свои персональные данные на сайте.

Политика определяет обработку ПД в информационных системах (ИС) обработки персональных данных и в неавтоматизированном виде.

Настоящая Политика разработана в соответствии с:

- Конституцией Российской Федерации;

- Гражданским кодексом Российской Федерации;

- Трудовым кодексом Российской Федерации;

- Налоговым кодексом Российской Федераии;

- Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных»;

- Федеральным законом от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и защите информации»;

- Постановлением Правительства Российской Федерации от 1 ноября 2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- Постановлением Правительства Российской Федерации от 15 сентября 2008 года №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

- Приказом ФСТЭК России от 18 февраля 2013 года №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Цель разработки Политики — определение порядка обработки и защиты персональных данных всех Клиентов ООО «Компания «Аква-Мир», данные которых подлежат обработке; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

ООО «Компания «Аква-Мир» не использует услуги хостинговых компаний и поддерживает сохранность персональных данных клиентов собственными силами, поэтому соблюдение положений настоящей Политики и иных, регламентирующих работу сайта локальных документов, гарантирует Вам безопасность ваших персональных данных.

Настоящая Политика вступает в силу с момента ее утверждения Генеральным директором ООО «Компания «Аква-Мир» и действует бессрочно, до замены ее новым документом.

Изменения в Политику вносятся на основании Приказов Генерального директора ООО «Компания «Аква-Мир».

Далее по тексту ООО «Компания «Аква-Мир» именуется – «Оператор ПД».

1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27.07.2006  № 152-ФЗ);

Оператор ПД– ООО «Компания «Аква-Мир» - юридическое лицо, самостоятельно организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Клиент – полностью дееспособное физическое лицо (в том числе: представитель физического лица, индивидуальный предприниматель, представитель индивидуального предпринимателя, руководитель или иной уполномоченный представитель юридического лица), находящееся в договорных отношениях с Оператором ПД и предоставившее свои ПД для обработки в добровольном порядке. Указанное в качестве получателя Товара, либо использующее Товары, приобретенные на сайте исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности.

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных клиента определенному лицу или определенному кругу лиц (п. 6 ст. 3 Федерального закона от 27.07.2006  № 152-ФЗ);

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Федерального закона от 27.07.2006  № 152-ФЗ);

Распространение персональных данных - действия, направленные на раскрытие персональных данных клиента неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006  № 152-ФЗ);

Блокирование персональных данных - временное прекращение обработки персональных данных клиентов (за исключением случаев, если обработка необходима для уточнения персональных данных) (п. 7 ст. 3 Федерального закона от 27.07.2006  № 152-ФЗ);

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных клиента и (или) в результате которых уничтожаются материальные носители персональных данных клиентов (п. 8 ст. 3 Федерального закона от 27.07.2006  № 152-ФЗ);

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному лицу (п. 9 ст. 3 Федерального закона от 27.07.2006  № 152- ФЗ);

Информация - сведения (сообщения, данные) независимо от формы их представления;

Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

Сайт – www.akwa-mir.ru. Сайт принадлежит и администрируется ООО «Компания «Аква-Мир»      Товар - объект материального мира, не изъятый из гражданского оборота и представленный  к продаже на Сайте.      Заказ - должным образом оформленный запрос Клиента на доставку по указанному адресу перечня Товаров, выбранных на Сайте.      Служба доставки - третье лицо, оказывающее по договору с Продавцом услуги по доставке Заказов Клиентам.

Интернет-магазин - Интернет-сайт, принадлежащий Оператору ПД (продавец), расположенный на сервере в г. Брянск и имеющий адрес в сети Интернет. На нем представлены товары, предлагаемые Продавцом своим Клиентам для оформления Заказов, а также условия оплаты и доставки этих Заказов Клиентам.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. ООО «Компания «Аква-Мир» использует сертифицированную и лицензированную программу 1 С Предприятие, имеющую высокую степень защиты и определенный ограниченный круг доступа.

Субъект – физическое лицо, которое прямо или косвенно определено или определяемо с помощью ПД.

Роскомнадзор – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), которая является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки ПД требованиям законодательства Российской Федерации в области персональных данных, а также функции по организации деятельности радиочастотной службы.

Система защиты персональных данных – совокупность программных, аппаратных и технических средств защиты информации, используемых для обеспечения информационной безопасности информационных систем.

Сотрудник, ответственный за организацию обработки персональных данных – сотрудник Оператора ПД назначенный ответственным за организацию обработки и обеспечение защиты ПД у Оператора ПД.

Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПД, а также иные неправомерные действия при их обработке в информационной системе персональных данных.

Уровень защищённости – под уровнем защищённости персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПД при их обработке в информационных системах персональных данных.

Иное лицо - физическое лицо, не являющееся клиентом Оператора ПД, однако являющееся стороной (продавцом, покупателем, представителем) в договоре с клиентом, передающее свои ПД Оператор ПД на основании согласия на обработку ПД.

 

2. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Основание и цели обработки ПД на предприятии устанавливаются в соответствии с типом субъекта:

Клиент – на основании согласия субъекта на обработку ПД и для достижения следующих целей:

- обеспечение соблюдения законов и иных нормативно-правовых актов;

-заключение и обеспечении трудовых договоров;

- исполнение договорных отношений между Оператором ПД и субъектом ПД.

В состав персональных данных Клиентов, в том числе входят:

1. Фамилия, имя, отчество.
2. Год рождения.
3. Месяц рождения.
4. Дата рождения.
5. Место рождения.
6. Паспортные данные
7. Адрес электронной почты.
8. Номер телефона (домашний, сотовый).

Оператором ПД могут создаваться (создаются, собираются) и хранятся следующие документы и сведения, в том числе в электронном виде, содержащие данные о Клиентах:

1. Договоры.
2. Записи телефонных переговоров.

3.Копии документов, удостоверяющих личность, а также иных документов, предоставляемых Клиентом, и содержащих персональные данные.

4. Данные по оплатам заказов (товаров/услуг), содержащие платежные и иные реквизиты Клиента.

Иные лица, имеющие отношение к клиенту – действующие от имени клиента по доверенности, члены семьи, и другие - на основании согласия субъекта на обработку ПД или на ином законном основании и для достижения следующих целей:

1. обеспечение соблюдения законов и иных нормативно-правовых актов;
2. исполнение договорных отношений между Оператором ПД и клиентом.

Пользователи сайта Оператора ПД:

1. для информационного обеспечения Оператора ПД, клиентов Оператора ПД и других пользователей сайта Оператора ПД персональными данными сделанными общедоступными самим субъектом персональных данных посредством размещения их им самим на сайте.

Субъект предоставляет ПД в объёме, необходимом для достижения целей.

Субъект даёт согласие Предприятию на обработку своих ПД:

Путем добровольного размещение непосредственно субъектом своих ПД на корпоративном сайте Оператора ПД подтверждает согласие субъекта на обработку его персональных данных Оператором ПД и не требует его письменного согласия на обработку.

Согласие субъекта должно содержать следующие сведения:

1. фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2. наименование и адрес оператора, получающего согласие субъекта персональных данных;
3. цель обработки персональных данных;
4. перечень персональных данных, на обработку которых даётся согласие субъекта персональных данных;
5. перечень действий с персональными данными, на совершение которых даётся согласие, общее описание используемых оператором способов обработки ПД.

 

3. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4. Перечень персональных данных, подлежащих защите Оператором ПД формируется в соответствии с федеральным законодательством о персональных данных.
5. Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
6. В зависимости от субъекта персональных данных, Оператор ПД обрабатывает персональные данные следующих категорий субъектов персональных данных:

 персональные данные работников Оператора ПД - информация, необходимая в связи с трудовыми отношениями и касающиеся конкретного работника Оператора ПД;

 персональные данные руководителей подведомственных предприятий, необходимые Оператору ПД для отражения в отчетных документах о деятельности Оператора ПД в соответствии с требованиями федеральных законов, нормативных документов Правительства города Брянска и иных нормативных правовых актов.

 персональные данные руководителя или сотрудника юридического лица, являющегося контрагентом Оператора ПД, необходимые Оператору ПД для выполнения своих обязательств в рамках договорных отношений с контрагентом и для выполнения требований законодательства Российской Федерации. 

 граждан, обращающихся к Оператору ПД в соответствии с Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан в Российской Федерации»

 

4. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТСТВЕННЫЙ ЗА ОБРАБОТКУ ПД

 Оператором ПД осуществляется автоматизированная и неавтоматизированная обработка ПД субъектов.

Обработка персональных данных клиента и иных лиц, имеющих отношение к клиенту, прекращается  в течение 30 дней с момента достижения целей обработки. В дальнейшем ПД хранятся на бумажных носителях и в информационной системе Оператора ПД,  в архивных папках. Срок хранения ПД, в том числе Согласий на обработку определяются в соответствии со сроком действия договора с субъектом персональных данных, Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», а также иными требованиями законодательства РФ и нормативными документами.

Постановлением Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».  для клиентов и иных лиц, имеющих отношение к Клиентам: 6 лет с момента заключения договоров с Оператором ПД (для клиентов) и 6 лет с момента обращения к Оператору ПД (иных лиц, имеющих отношение к клиентам). Пользователи корпоративного сайта Оператора ПД, передавшие свои ПД для размещения в общедоступной информационной системе сами, в любой момент могут удалить эти данные.

Любые действия с ПД субъекта без письменного его согласия или любого другого основания, установленного Федеральным законом №152-ФЗ «О персональных данных», запрещены.

Сбор специальных категорий ПД субъектов, в том числе информации об их расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни Оператор ПД не производит.

Сотрудники Оператора ПД, допущенные к обработке ПД, проходят инструктаж и соблюдают нормы законодательства в области защиты ПД и локальных нормативно-правовых актов Оператора ПД. Сотрудники, не прошедшие инструктаж, к обработке ПД не допускаются.

В случае выявления недостоверных ПД или неправомерных действий с ними при обращении или по запросу субъекта, Оператор ПД обязан осуществить блокирование ПД в соответствии с действующим законодательством.

В случае подтверждения факта неточности персональных данных Оператор ПД на основании сведений, представленных субъектом, его представителем, либо уполномоченным органом по защите прав субъектов ПД, или иных необходимых документов, обязан уточнить ПД в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

Уничтожение ПД производится под контролем должностного лица, ответственного за организацию обработки ПД. Об уничтожении составляется акт.

В случае отзыва субъектом согласия на обработку его ПД, Оператор ПД обязан прекратить их обработку в случае, если сохранение ПД более не требуется для целей обработки ПД и не противоречит законодательству или прекратить их обработку в части. Оператор ПД обязан уничтожить ПД или часть персональных данных в срок, не превышающий тридцати дней с даты поступления указанного отзыва.

Субъект персональных данных предоставляет Оператору ПД достоверные сведения о себе.

К обработке персональных данных Клиентов могут иметь доступ только сотрудники Оператора ПД, допущенные к работе с персональными данными Клиента и подписавшие Соглашение о неразглашении персональных данных Клиента.

Право доступа к персональным данным Клиента имеют:

• Генеральный директор Оператора ПД;
• Работники, ответственные за ведение финансовых расчетов (менеджер, бухгалтер).
• Работники Отдела по работе с Клиентами (начальник отдела продаж, менеджер).
• Работники IT (коммерческий директор, системный администратор).
• Клиент, как субъект персональных данных.

Поименный перечень сотрудников Оператора ПД, имеющих доступ к персональным данным Клиентов, определяется приказом Генерального директора Оператора ПД.

Обработка персональных данных Клиента может осуществляться исключительно в целях установленных Политикой и соблюдения законов и иных нормативных правовых актов РФ.

При определении объема и содержания, обрабатываемых персональных данных Оператор ПД руководствуется Конституцией Российской Федерации, законом о персональных данных, и иными федеральными законами.

Оператор ПД назначает сотрудника, ответственного за организацию обработки ПД.

Сотрудник, ответственный за организацию обработки ПД обязан:

1. Осуществлять внутренний контроль за соблюдением Оператором ПД и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2. Доводить до сведения работников Оператора ПД положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, внутренних требований к защите персональных данных;
3. Проводить инструктаж по вопросам ПД;
4. Координировать работы по защите ПД.
5. Организовывать приём и обработку обращений и запросов субъектов или их представителей и (или) осуществлять контроль за приёмом и обработкой таких обращений и запросов;
6. Вести журнал учёта запросов и ответов на запросы по вопросам ПД и инцидентов, связанных с ПД субъектов.

 

5. ПОРЯДОК РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ (получение, обработка, защита, хранение, доступ, передача).

 

Порядок получения (сбора) персональных данных:

Все персональные данные Клиента следует получать у него лично с его письменного согласия, кроме иных случаев, предусмотренных законами РФ.

Согласие Клиента на использование его персональных данных хранится у Оператора ПД в бумажном и/или электронном виде.

Согласие субъекта на обработку персональных данных действует в течение всего срока действия договоров, а также в течение 5 лет с даты прекращения действия договорных отношений Клиента с Оператором ПД. По истечении указанного срока действие согласия считается продленным на каждые следующие пять лет при отсутствии сведений о его отзыве.

Если персональные данные Клиента возможно получить только у третьей стороны, Клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Третье лицо, предоставляющее персональные данные Клиента, должно обладать согласием субъекта на передачу персональных данных Оператора ПД.

Оператор ПД обязан  сообщить Клиенту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Клиента персональных данных дать письменное согласие на их получение.

Обработка персональных данных клиентов:

Источником информации обо всех персональных данных клиентов является непосредственно клиент. Если персональные данные возможно получить только у третьей стороны, то Оператор ПД должен быть заранее в письменной форме уведомлен  об этом.

Оператор ПД не имеет права получать и обрабатывать персональные данные клиента о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ вправе получать и обрабатывать данные о частной жизни клиента только с его письменного согласия.

Обработка персональных данных клиентов возможна только с их согласия либо без их согласия в следующих случаях:

• персональные данные являются общедоступными;
• по требованию полномочных государственных органов - в случаях, предусмотренных федеральным законом.

Письменное согласие клиента на обработку своих персональных данных должно включать в себя:

• фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

Согласие клиента не требуется в следующих случаях:

• обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке;
• обработка персональных данных в целях исполнения договора;
• обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов клиента, если получение его согласия невозможно.

Клиент представляет Оператору ПД достоверные сведения о себе.

Защита персональных данных:

Под защитой персональных данных Клиента понимается комплекс мер (организационно-распорядительных, технических, юридических), направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных субъектов, а также от иных неправомерных действий.

Защита персональных данных Клиента осуществляется за счёт Оператора ПД в порядке, установленном федеральным законом РФ.

Оператор ПД при защите персональных данных Клиентов принимает все необходимые организационно-распорядительные, юридические и технические меры, в том числе:

• Антивирусная защита.
• Анализ защищённости.
• Обнаружение и предотвращение вторжений.
• Управления доступом.
• Регистрация и учет.
• Обеспечение целостности.
• Организация нормативно-методических локальных актов, регулирующих защиту персональных данных.

Общую организацию защиты персональных данных Клиентов осуществляет Генеральный директор Оператора ПД.

Защита персональных данных Клиентов, хранящихся в электронных базах данных от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается Системным администратором.

Доступ к персональным данным Клиента: имеют сотрудники Оператора ПД, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.

Все сотрудники, связанные с получением, обработкой и защитой персональных данных Клиентов, обязаны подписать Соглашение о неразглашении персональных данных Клиентов.

Процедура оформления доступа к персональным данным Клиента включает в себя:

• Ознакомление сотрудника под роспись с настоящей Политикой. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Клиента, с данными актами также производится ознакомление под роспись.
• Истребование с сотрудника (за исключением Генерального директора) письменного обязательства о соблюдении конфиденциальности персональных данных Клиентов и соблюдении правил их обработки в соответствии с внутренними локальными актами Оператора ПД, регулирующих вопросы обеспечения безопасности конфиденциальной информации.

Сотрудник Оператора ПД, имеющий доступ к персональным данным Клиентов в связи с исполнением трудовых обязанностей:

• Обеспечивает хранение информации, содержащей персональные данные Клиента, исключающее доступ к ним третьих лиц.
• В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Клиентов.
• При уходе в отпуск, во время служебной командировки и в иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные Клиентов лицу, на которое локальным актом Оператора ПД (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.
• В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные Клиентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов по указанию Генерального директора Оператора ПД.
• При увольнении сотрудника, имеющего доступ к персональным данным Клиентов, документы и иные носители, содержащие персональные данные Клиентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов по указанию Генерального директора.

 Хранение персональных данных:

Персональные данные Клиентов на бумажных носителях хранятся в сейфах.

Персональные данные Клиентов в электронном виде хранятся в локальной компьютерной сети Оператора ПД, в электронных папках и файлах в персональных компьютерах Генерального директора и сотрудников, допущенных к обработке персональных данных Клиентов.

Документы, содержащие персональные данные Клиентов, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа. В конце рабочего дня все документы, содержащие персональные данные Клиентов, помещаются в шкафы (сейфы), обеспечивающие защиту от несанкционированного доступа.

Защита доступа к электронным базам данных, содержащим персональные данные Клиентов, обеспечивается:

• Использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный вход в локальную сеть Оператора ПД.
• Разграничением прав доступа с использованием учетной записи.
• Двух ступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются Системным администратором Оператора ПД и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным Клиентов.

Несанкционированный вход в ПК, в которых содержатся персональные данные Клиентов, блокируется паролем, который устанавливается Системным администратором и не подлежит разглашению.

Все электронные папки и файлы, содержащие персональные данные Клиентов, защищаются паролем, который устанавливается ответственным за ПК сотрудником Оператора ПД и сообщается Системному администратору.

Изменение паролей Системным администратором осуществляется не реже 1 раза в 3 месяца.

Копировать и делать выписки персональных данных Клиента разрешается исключительно в служебных целях с письменного разрешения Генерального директора Оператора ПД.

Ответы на письменные запросы других организаций и учреждений о персональных данных Клиентов даются только с письменного согласия самого Клиента, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Оператора ПД, и в том объеме, который позволяет не разглашать излишний объем персональных данных Клиента.

Сроки хранения персональных данных:

      Сроки хранения гражданско-правовых договоров, содержащих персональные данные Клиентов, а также сопутствующих их заключению, исполнению документов - 5 лет с момента окончания действия договоров.

В течение срока хранения персональные данные не могут быть обезличены или уничтожены.

По истечении срока хранения персональные данные могут быть обезличены в информационных системах и уничтожены на бумажном носителе в порядке установленном действующим законодательством РФ. (Приложение Акт об уничтожении персональных данных)

Передача персональных данных

При передаче персональных данных клиента Оператором ПД должны соблюдаться следующие требования:

Не сообщать персональные данные третьей стороне без письменного согласия клиента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью клиента, а также в случаях, установленных федеральным законом.

Не сообщать персональные данные клиента в коммерческих целях без его письменного согласия. Обработка персональных данных клиентов в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.

Предупредить лиц, получивших персональные данные клиента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено.

Разрешать доступ к персональным данным клиентам только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.

Не запрашивать информацию о состоянии здоровья клиента, за исключением тех сведений, которые относятся к вопросу о возможности выполнения клиентом своих обязанностей.

Передавать персональные данные клиента его законным, полномочным представителям в порядке, установленном законом и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.

Персональные данные клиентов обрабатываются и хранятся по адресу местонахождения Оператора ПД.

Персональные данные могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).

 

6. ПОРЯДОК УТИЛИЗАЦИИ ПЕРСОНАЛЬНЫХ ДАННЫХ (блокировка, обезличивание, уничтожение)

 Блокировка персональных данных Клиентов осуществляется с письменного заявления Клиента.

Блокировка персональных данных подразумевает:

1. Запрет редактирования персональных данных.
2. Запрет распространения персональных данных любыми средствами (e-mail, сотовая связь, материальные носители).
3. Запрет использования персональных данных в массовых рассылках (sms, e-mail, почта).
4. Изъятие бумажных документов, относящихся к Клиенту и содержащих его персональные данные из внутреннего документооборота Оператора ПД и запрет их использования.

Блокировка персональных данных Клиента может быть временно снята, если это требуется для соблюдения законодательства РФ.

Разблокировка персональных данных Клиента осуществляется с его письменного согласия (при наличии необходимости получения согласия) или заявления Клиента.

Повторное согласие Клиента на обработку его персональных данных (при необходимости его получения) влечет разблокирование его персональных данных.

Порядок обезличивания и уничтожения персональных данных:

Обезличивание персональных данных Клиента происходит по письменному заявлению Клиента, при условии, что все договорные отношения завершены и от даты окончания последнего договора прошло не менее 5 лет.

При обезличивании персональные данные в информационных системах заменяются набором символов, по которому невозможно определить принадлежность персональных данных к конкретному Клиенту.

Бумажные носители документов при обезличивании персональных данных уничтожаются.

Оператор ПД обязан  обеспечить конфиденциальность в отношении персональных данных при необходимости проведения испытаний информационных систем на территории разработчика и произвести обезличивание персональных данных в передаваемых разработчику информационных системах.

Уничтожение персональных данных Клиента подразумевает прекращение какого-либо доступа к персональным данным Клиента.

При уничтожении персональных данных Клиента работники Оператора ПД не могут получить доступ к персональным данным субъекта в информационных системах.

Бумажные носители документов при уничтожении персональных данных уничтожаются, персональные данные в информационных системах обезличиваются. Персональные данные восстановлению не подлежат.

Операция уничтожения персональных данных необратима.

 

7. ОСОБЕННОСТИ НЕАВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

К бумажным носителям ПД относятся:

1. Договоры поставки, купли-продажи, аренды, технического обслуживания и т.д,, приложения к ним, Предварительные договоры, Соглашения к договорам, гарантийные письма, в случае если они содержат ПД и позволяют идентифицировать субъекта;
2. Ксерокопии документов, удостоверяющих личность субъекта;
3. Другие бумажные носители, содержащие ПД субъектов (ксерокопии технических и правоустанавливающих документов, анкеты клиентов и др).

Оператором ПД установлены следующие требования к хранению бумажных носителей ПД:

1. бумажные носители ПД хранятся в специально отведенных местах, определяемых руководителем Оператор ПД, за сохранность документов  несут ответственность сотрудники, ответственные за организацию обработки персональных данных;
2. запрещается хранение бумажных носителей ПД в местах, доступных для ознакомления посторонними лицами;

Оператор ПД установил следующие требования к уничтожению бумажных носителей ПД:

1. уничтожение бумажных носителей ПД может проводиться при помощи технических средств (уничтожителей бумаги) или путём разрезания вручную. При этом должна быть обеспечена невозможность восстановления ПД из остатков носителя;
2. уничтожение бумажных носителей должно проходить в присутствии ответственного за организацию обработки ПД и должно оформляться актом.
3. Не допускается фиксация на одном бумажном носителе ПД, цели обработки которых заведомо не совместимы. В случае обработки различных категорий ПД, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
4. 
   ПРАВА И ОТВЕТСТВЕННОСТЬ СТОРОН

 

Оператор ПД вправе:

1. Отстаивать свои интересы в суде.
2. Предоставлять персональные данные Клиентов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.).
3. Отказать в предоставлении персональных данных в случаях, предусмотренных законом.
4. Использовать персональные данные Клиента без его согласия, в случаях предусмотренных законодательством РФ.

Клиент имеет право:

1. Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
2. Требовать перечень обрабатываемых персональных данных, имеющихся у Оператора ПД и источник их получения.
3. Получать информацию о сроках обработки персональных данных, в том числе о сроках их хранения.
4. Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.

  Ответственность за нарушение норм, регулирующих обработку персональных данных:

Работники Оператора ПД, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных несут дисциплинарную, административную, гражданско-правовую ответственность в соответствии с действующем законодательством Российской Федерации и внутренними локальными актами Оператора ПД.

Работники Оператора ПД не несут ответственность по каким-либо прямым, случайным, логически вытекающим, непрямым, особым или штрафным убыткам, расходам, потерям  Клиентов, ставших следствием нарушений пользовательского соглашения и правил пользования сайтом Оператора ПД.

В максимальном объеме, допустимом применимым правом, в Клиент однозначно отказываетесь от всех претензий к Оператору ПД, должностным лицам, директорам, сотрудникам, поставщикам и программистам, которые могут возникнуть в связи с использованием или доступом Интернет-сайта Оператора ПД.

 

9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Оператор ПД оставляет за собой право вносить изменения в настоящую Политику. Изменения вносятся путем издания новой редакции настоящей Политики. Новая редакция Политики вступает в силу со дня её утверждения. Предыдущая редакция теряет силу с момента утверждения новой редакции.

Иные локальные нормативные акты Оператора ПД должны издаваться в соответствии с настоящей Политикой и законодательством в области  персональных данных.

Вопросы, не урегулированные настоящим Политикой, разрешаются в соответствии с законодательством Российской Федерации. В отношении защиты субъектов персональных данных граждан иных стран (не Российской Федерации) Операторм ПД могут учитываться положения законодательства страны, гражданином которой является субъект персональных данных.