Положение о защите, хранении, обработке и передаче персональных данных

1. Общие положения

1.1. Настоящее Положение регламентируется Конституцией Российской Федерации, Трудовым кодексом РФ, Федеральным законом "Об информации, информационных технологиях и о защите информации" №149-ФЗ от 27.07.2006 года, Федеральным законом "О персональных данных" № 152-ФЗ от 27.07.2006 года (далее - Федеральный закон) и другими нормативными правовыми актами.

1.2. Индивидуальный предприниматель ИП Михалева Ирина Александровна, далее по тексту Организация, является оператором персональных данных в отношении персональных данных субъектов, к которым относятся следующие лица:

• работники организации, с которыми заключены трудовые договора, в том числе те, с которыми трудовые договора уже расторгнуты;
• близкие родственники работников организации, супругов и лиц находящихся на иждивении работников, бывших супругов, которым выплачиваются алименты;
• соискатели вакантных должностей, представивших свое резюме или анкеты лично или через специализированные организации по подбору персонала, в том числе через сайты в сети Интернет;
• покупатели сети магазинов "Недорогой", принадлежащих организации, а также покупателей Интернет-магазина, предоставивших свои персональные данные организации и иных лиц, обратившихся в организацию любым доступным способом с целью получения услуг или иных выгодоприобретений;
• авторизирорванных и неавторизированых пользователей интернет-сайта www.недорогой22.рф, заполнивших веб-форму обращения на страницах сайта;
• контрагенты - физические лица, индивидуальные предприниматели и представители ООО и ИП, действующих на основании доверенности и иные представители контрагентов, с которыми у организации заключены договорные отношения или имеются намерения вступить в договорные отношения с организацией.

1.3. Персональные данные - любая информация, касающаяся конкретного физического лица (субъекта персональных даннных)

1.4. Все персональные сведения о субъекте организация может получить только от самого субъекта. В случаях, когда организация может получить необходимые персональные данные субъекта только у третьего лица, Организация должна уведомить об этом субъекта и получить от него письменное согласие.

1.5. Организация обязана сообщить субъекту о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение.

1.6. Персональные данные субъекта являются конфиденциальной информацией и не могут быть использованы Организацией или любым иным лицом в личных целях.

1.7. При определении объема и содержания персональных данных субъекта организация руководствуется настоящим Положением, Конституцией РФ, Трудовым кодексом РФ, иными федеральными законами.

2. Хранение, обработка и передача персональных данных

2.1. Обработка персональных данных допускается в следующих случаях:

• 2.1.1. При наличии согласия субъекта персональных данных на обработку его персональных данных.

• 2.1.2. Обработка персональных данных субъекта осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов. К таким случаям относится содействие Работнику в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности Работника, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

• 2.1.3. Для исполнения договора, стороной которого является субъект персональных данных, для заключения договора по инициативе субъекта персональных данных. Такими договорами, не ограничиваясь, являются:

  • трудовые договоры с Работниками Общества;
  • гражданско-правовые договоры с контрагентами – физическими лицами и индивидуальными предпринимателями;
  • договоры розничной купли-продажи, заключенные организацией с Покупателем при продаже товаров через Интернет-магазин дистанционным способом.

  Преддоговорной работой является работа по подбору персонала, в которой согласие субъекта на обработку подтверждается собственноручно заполненной анкетой Соискателя или анкетой (резюме), переданной им организации, в специализированную организацию по подбору персонала, либо размещенной Соискателем на специализированных сайтах в сети Интернет или присланной Соискателем в организацию по электронной почте. В случае если заключение трудового договора инициируется Обществом, обработка персональных данных Соискателей ведется при наличии их согласия на обработку, полученного в любой доказываемой форме.

• 2.1.4. Обработка персональных данных необходима для осуществления прав и законных интересов Организации или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъектов персональных данных.

• 2.1.5. Организация осуществляет обработку персональных данных с использованием средств автоматизации, а также без использования таких средств.

2.2. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством, договором, стороной которого является субъект персональных данных.

2.3. Организация является лицом, осуществляющим предоставление персональных данных другим операторам в соответствии с требованиями законодательства, к которым относятся без ограничения:

• органы власти, местного самоуправления и государственные внебюджетные фонды, в которые перечисляются средства Работников или средства для зачисления на счет Работников (инспекции Федеральной налоговой службы, территориальные отделения Социального фонда России, Федерального фонда обязательного медицинского страхования и др.), надзорные органы;
• органы статистики, военные комиссариаты, операторы связи, профсоюзные органы, иные организации, которым персональные данные предоставляются (передаются) в случаях, предусмотренных законодательством;
• операторы фискальных данных, которым передаются персональные данные кассиров в соответствии с требованиями законодательства.

Указанным выше операторам персональные данные предоставляются (передаются) в объеме, определенном законодательством, соответствующими органами власти и государственными внебюджетными фондами в пределах их полномочий. Согласия субъектов на такую передачу персональных данных не требуется.

2.4. Руководитель организации может передавать персональные данные Работника третьим лицам, только если это необходимо в целях предупреждения угрозы жизни и здоровья Работника, а также в случаях, установленных законодательством.

2.5. Все сведения о передаче персональных данных субъекта учитываются для контроля правомерности использования данной информации лицами, ее получившими.

3. Организационные, правовые и технические меры

3.1. Защита персональных данных, обрабатываемых Обществом, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований законодательства в области защиты персональных данных.

3.2. Организационные меры включают в себя:

• 3.2.1. Размещение оборудования информационных систем персональных данных, специального оборудования и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

• 3.2.2. Помещения, в которых располагаются технические средства информационных систем персональных данных или хранятся носители персональных данных, должны соответствовать требованиям пожарной безопасности, установленным действующим законодательством Российской Федерации.

• 3.2.3. Определение уровня специального оборудования помещения осуществляется специально создаваемой комиссией. По результатам определения класса и обследования помещения на предмет его соответствия такому классу составляются акты.

• 3.2.4. Кроме указанных мер по специальному оборудованию и охране помещений, в которых устанавливаются криптографические средства защиты информации или осуществляется их хранение, реализуются дополнительные требования, определяемые методическими документами Федеральной службы безопасности России.

• 3.2.5. Назначения лица, ответственного за организацию обработки персональных данных;

• 3.2.6. Назначение лица, ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных;

• 3.2.7. Ограничение состава работников организации, имеющих доступ к персональным данным;

• 3.2.8. Ознакомление ответственных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;

• 3.2.9. Обучение всех работников, непосредственно осуществляющих обработку персональных данных, правилам работы с ними и обеспечению безопасности обрабатываемых данных;

• 3.2.11. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;

• 3.2.12. Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.

3.3. Правовые меры включают в себя:

• Издание организацией документов, определяющих его политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

3.4. Технические меры включают в себя:

• 3.4.1. Разработку на основе модели угроз системы защиты персональных данных для установленных Правительством Российской Федерации уровней защищенности персональных данных при их обработке в информационных системах;

• 3.4.2. Использование для нейтрализации актуальных угроз средств защиты информации, прошедших процедуру оценки соответствия;

• 3.4.3. Защиту персональных данных, пересылаемых по электронной почте, путем использования защищенных паролем, соответствующим требованиям политики парольной защиты, архивов, содержащих персональные данные (файлов форматов zip, rar и т.п.);

• 3.4.4. Выявление вредоносного программного обеспечения (применение антивирусных программ) на всех узлах информационной сети организации, обеспечивающих соответствующую техническую возможность;

• 3.4.5. Безопасное межсетевое взаимодействие;

• 3.4.6. Идентификацию и проверку подлинности пользователя при входе в информационную систему по паролю;

• 3.4.7. Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации;

• 3.4.8. Принятие мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.

4. Обязанности Организации

4.1. Организация обязана за свой счет обеспечить защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ.

4.2. Организация обязана принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Организация самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами.

4.3. Организация обязана ознакомить субъекта и его представителей с настоящим Положением и их правами в области защиты персональных данных.

4.4. Организация обязана осуществлять передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством РФ.

4.5. Организация обязана предоставлять персональные данные субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения целей, в соответствии с настоящим Положением и законодательством РФ.

4.6. Организация не вправе получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни.

В случаях, непосредственно связанных с вопросами трудовых отношений, организация вправе получать и обрабатывать персональные данные субъекта о его личной жизни, только с письменного согласия субъекта.

4.7. Организация не имеет права получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или профсоюзной деятельности, за исключением случаев, предусмотренных законодательством РФ.

4.8. Организация не вправе предоставлять персональные данные субъекта в коммерческих целях без письменного согласия субъекта.

4.9. Организация обязана обеспечить субъекту свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством.

4.10. Организация обязана по требованию субъекта предоставить ему полную информацию о его персональных данных и обработке этих данных.

5. Права субъектов

5.1. Субъект имеет право:

• получать полную информацию о своих персональных данных, их обработке, хранении и передаче;
• определять своих представителей для защиты своих персональных данных;
• на доступ к относящимся к нему медицинских данных с помощью медицинского специалиста по их выбору;
• требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушениями настоящего Положения и законодательства РФ.
  При отказе организации исключить или исправить персональные данные субъекта, субъект вправе заявить организации в письменном виде о своем несогласии с соответствующим обоснованием;
• требовать от организации извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях.

5.2. Если субъект считает, что организация осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы, субъект вправе обжаловать действия или бездействие организации в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

6. Порядок уничтожения, блокирования персональных данных

6.1. В случае выявления неправомерной обработки персональных данных организация обязана осуществить блокирование данных с момента обращения субъекта на период проверки.

6.2. В случае выявления неточных персональных данных при обращении субъекта организация обязана осуществить блокирование персональных данных, относящихся к этому субъекту, с момента такого обращения на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта или третьих лиц.

6.3. В случае подтверждения факта неточности персональных данных организация на основании сведений, представленных субъектом, или иных необходимых документов обязана уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

6.4. В случае выявления неправомерной обработки персональных данных, осуществляемой организацией, организация в срок, не превышающий трех рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку персональных данных.

6.5. В случае если обеспечить правомерность обработки персональных данных невозможно, организация в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязана уничтожить такие персональные данные.

6.6. Об устранении допущенных нарушений или об уничтожении персональных данных организация обязана уведомить субъекта.

В случае достижения цели обработки персональных данных организация обязана прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором.

6.8. В случае отзыва субъекта согласия на обработку его персональных данных организация обязана прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором.

6.9. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 6.4-6.8 настоящего Положения, организация осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

7. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

7.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными Федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

7.2. Моральный вред, причиненный субъекту вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом убытков.

8. Заключительные положения

8.1. Настоящее Положение вступает в силу с момента его утверждения.

8.2. Организация обеспечивает неограниченный доступ к настоящему документу.

8.3. Настоящее Положение доводится до сведения всех субъектов.