Политика конфиденциальности
ИП Городецкий Александр Геннадьевич (далее www.regard-s.ru или Администрация) обязуется сохранять Вашу конфиденциальность в сети Интернет. Настоящая Политика Конфиденциальности, рассказывает о том, как собираются, обрабатываются и хранятся Ваши личные данные. Администрация уделяет большое внимание защите личной информации пользователей. Пользуюсь сайтом www.regard-s.ru, пользователь тем самым дает согласие на применение правил сбора и использования данных, изложенных в настоящем документе.
Если Вы не согласны с условиями нашей политики конфиденциальности, не используйте сайт www.regard-s.ru!
Если Вы не согласны с условиями нашей политики конфиденциальности, не используйте сайт www.regard-s.ru!
ПОЛИТИКА
в отношении обработки персональных данных компании REGARDS
- Общие положения
- Термины и определения
- Обозначения и сокращения
- Правовые основания и цели обработки персональных данных
- Принципы и условия обработки Пдн
- Права и обязанности субъектов ПДн, а также компании в части обработки Пдн
- Меры по обеспечению безопасности ПДн при их обработке
- Порядок уничтожения ПДн
- Порядок получения разъяснений по вопросам обработки Пдн
- Заключительные положения
- Ответственность и обязанности
- Актуализация Политики
1. Общие положения
1.1. Настоящая политика в отношении обработки персональных данных (далее – Политика) подготовлена в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона РФ «О персональных данных» №152-ФЗ от 27.07.2006 (далее – Федеральный закон) и определяет позицию Индивидуального предпринимателя Городецкого Александра Геннадьевича (далее – Компания) в области обработки и защиты персональных данных (далее – ПДн), соблюдения прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Понимая важность и ценность ПДн, а также заботясь о соблюдении конституционных прав граждан РФ и граждан других государств, Компания обеспечивает надежную защиту ПДн.
1.3. Политика распространяется на ПДн, полученные как до, так и после ввода в действие Политики.
2. Термины и определения
Автоматизированная обработка персональных данных – обработка персональных данных с использованием средств вычислительной техники.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Доступ к персональным данным – возможность получения персональных данных и их использования.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных – обязательное для соблюдения Компанией или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Несанкционированный доступ – доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152 ФЗ «О персональных данных».
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
3. Обозначения и сокращения
Политика – Политика в отношении обработки персональных данных Индивидуального предпринимателя Городецкого Александра Геннадьевича.
ИСПДн – Информационная система персональных данных.
Компания – Индивидуального предпринимателя Городецкого Александра Геннадьевича (сайт: www.regard-s.ru).
ПДн – Персональные данные.
Федеральный закон – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
Иные термины, обозначения и сокращения, используемые в Политике, определены в Глоссарии информационной безопасности Индивидуального предпринимателя Городецкого Александра Геннадьевича.
4. Правовые основания и цели обработки персональных данных
4.1. В компании обработка и защита персональных данных (ПДн) происходит согласно требованиям Конституции РФ, федерального законодательства, Трудового кодекса РФ, нормативных актов и федеральных законов РФ, регулирующих особенности обработки ПДн, руководящих и методических материалов ФСТЭК России и ФСБ России.
4.2. Субъектами ПДн, чьи данные обрабатываются в Компании, являются:
• соискатели — физические лица, претендующие на трудоустройство в компании;
• работники компании — физические лица, находящиеся в трудовых отношениях с компанией;
• уволившиеся работники — физические лица, ранее состоявшие в трудовых отношениях с компанией;
• сотрудники сторонних организаций — это представители юридических лиц и индивидуальные предприниматели, которые заключили контракты с компанией или находятся на стадии предварительных переговоров, а также участвуют в текущей деятельности компании;
• контрагенты — физические лица, предоставляющие услуги компании на основе гражданско-правовых договоров;
• индивидуальные предприниматели — физические лица, зарегистрированные в соответствии с законодательством и осуществляющие предпринимательскую деятельность без образования юридического лица;
• посетители — физические лица, не являющиеся сотрудниками компании или контрагентами, посещающие её отделения;
• покупатели — физические лица, связанные договорными отношениями с компанией, приобретающие её товары и пользующиеся услугами, а также их представители;
• участники бонусной программы — физические лица, зарегистрированные в программе лояльности компании;
• победители конкурсов — физические лица, победившие в конкурсах, организованных компанией;
• пользователи сайта компании — физические лица, посещающие сайт компании в интернете.
4.3. Цели обработки ПДн, категории и перечень обрабатываемых ПДн, категории субъектов ПДн, способы, сроки их обработки и хранения приведены в приложении к Политике (см. Приложение А).
5. Принципы и условия обработки ПДн
5.1. При обработке ПДн Компания придерживается следующих принципов:
• Обработка персональных данных (ПДн) должна осуществляться на основе закона и справедливости.
• ПДн не должны раскрываться третьим лицам и распространяться без согласия субъекта ПДн, за исключением случаев, предусмотренных законом, таких как запросы от уполномоченных государственных органов или для обеспечения правосудия, исполнения судебных решений и других актов, подлежащих исполнению в соответствии с законодательством РФ.
• Определение конкретных и законных целей перед началом обработки ПДн.
• Сбор только тех ПДн, которые необходимы и достаточны для заявленной цели обработки.
• Недопустимо объединение баз данных, содержащих ПДн, обрабатываемых для несовместимых целей.
• Обработка ПДн должна быть ограничена конкретными, заранее определёнными и законными целями.
• При обработке ПДн необходимо обеспечивать точность, достаточность и актуальность данных относительно заявленных целей их обработки.
• Обрабатываемые ПДн должны быть уничтожены или обезличены после достижения целей обработки или при отсутствии необходимости в их достижении, если иное не предусмотрено законодательством РФ.
5.2. Компания может публиковать ПДн субъекта ПДн в общедоступных источниках, предварительно получив письменное согласие от самого субъекта на обработку его данных.
5.3. Компания не обрабатывает ПДн, связанные с расовой, национальной принадлежностью, политическими взглядами, религиозными, философскими и другими убеждениями, личной жизнью, членством в общественных организациях, включая профсоюзы.
5.4. Компания обрабатывает ПДн о состоянии здоровья субъекта ПДн в определённых ситуациях:
• Субъект персональных данных дал своё письменное согласие на обработку своих данных. Это предусмотрено законодательством о государственной социальной помощи и трудовым законодательством.
• Обработка персональных данных необходима для защиты жизни, здоровья или других жизненно важных интересов работника компании или других лиц, когда получение согласия субъекта невозможно.
• Также обработка персональных данных нужна для установления или реализации прав субъекта или третьих лиц.
• В соответствии с законодательством Российской Федерации об обороне, безопасности и противодействии коррупции, обработка персональных данных осуществляется.
• Это касается оказания материальной помощи работникам компании.
5.5. Обработка данных о судимости может проводиться компанией только в случаях и в порядке, определённых федеральным законодательством.
5.6. Обработка данных, разрешённых субъектом для распространения, возможна только при его согласии.
5.7. Компания может обрабатывать биометрические данные с письменного разрешения субъекта в случаях предоставления доступа на территорию компании и учёта рабочего времени.
5.8. В соответствии с российским законодательством компания имеет право передавать данные третьим лицам, таким как Федеральная налоговая служба и другие государственные органы, без согласия субъекта.
5.9. Компания может поручать обработку данных субъектов третьим лицам с согласия субъекта на основе заключённого договора.
5.10. Лица, обрабатывающие данные на основании договора с компанией (оператора), обязаны соблюдать требования федерального законодательства.
5.11. Если компания поручает обработку данных другому лицу, ответственность перед субъектом данных несёт компания. Лицо, обрабатывающее данные по поручению компании, отвечает перед компанией. Это лицо также отвечает перед субъектом данных в случаях, предусмотренных законодательством.
5.12. При трансграничной передаче данных компания обязана выполнять свои обязательства, определённые законодательством.
5.13. Трансграничная передача персональных данных на территории иностранных государств может осуществляться в соответствии с законодательством.
5.14. Для соблюдения требований российского законодательства и договорных обязательств, обработка персональных данных в компании может осуществляться как автоматически, так и без использования автоматизированных средств. Операции обработки включают сбор, запись, систематизацию, накопление, хранение, обновление, изменение, извлечение, использование, передачу, обезличивание, блокировку, удаление и уничтожение персональных данных.
5.15. В компании запрещено принимать решения, которые могут привести к юридическим последствиям для субъекта персональных данных или повлиять на его права и законные интересы исключительно на основе автоматизированной обработки данных, за исключением случаев, предусмотренных законодательством Российской Федерации.
6. Права и обязанности субъектов ПДн, а также Компании в части обработки ПДн
6.1. Субъект персональных данных самостоятельно принимает решение о предоставлении своих данных и соглашается на их обработку свободно, по собственной воле и в своих интересах. Согласие на обработку данных может быть предоставлено субъектом или его представителем в любой форме, подтверждающей факт его получения, если иное не установлено федеральным законом.
6.2. Обработка персональных данных для продвижения товаров, работ и услуг на рынке путём прямых контактов с потенциальными клиентами через средства связи разрешается только при предварительном согласии субъекта персональных данных.
6.3. За исключением случаев, предусмотренных федеральным законом, компания обязана незамедлительно прекратить обработку персональных данных по письменному требованию или требованию в другой форме, указанной в согласии субъекта персональных данных. Требование должно содержать информацию, позволяющую идентифицировать субъекта персональных данных.
6.4. В согласии на обработку персональных данных, разрешённых субъектом для распространения, субъект персональных данных может устанавливать запреты на передачу (кроме предоставления доступа) этих данных неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий не допускается.
6.5. Субъект персональных данных, чьи данные обрабатываются компанией, имеет право:
• Субъект имеет право получать от компании информацию об обработке его персональных данных в объёме, определённом Федеральным законом. Также он может требовать от компании уточнения, блокировки или удаления своих персональных данных, если они неполные, устаревшие, неточные, получены незаконно или не требуются для заявленной цели обработки.
• Субъект имеет право запрашивать у компании информацию о конкретных причинах и правовых основаниях, которые определяют невозможность заключения, исполнения, изменения или расторжения договора без предоставления персональных данных.
• Субъект имеет право отозвать своё согласие на обработку персональных данных в любое время, а также требовать прекращения обработки его данных.
• Субъект имеет право требовать устранения неправомерных действий компании в отношении его персональных данных и обжаловать действия или бездействие компании в Роскомнадзор или суд, если считает, что компания обрабатывает его персональные данные с нарушением требований Федерального закона или иным образом нарушает его права и свободы.
6.6. Компания в процессе обработки ПДн обязана:
• Предоставить субъекту ПДн запрошенную информацию об обработке его данных в течение 10 рабочих дней с момента получения запроса от него или его представителя. В случае наличия обоснованных причин этот срок может быть увеличен ещё на 5 рабочих дней, о чём Компания должна уведомить субъекта ПДн с объяснением причин задержки.
• Компания обязана разъяснить субъекту ПДн юридические последствия отказа предоставить данные, если это требуется согласно законодательству РФ.
• До начала обработки ПДн (если данные получены не от самого субъекта) необходимо предоставить ему следующую информацию, за исключением случаев, указанных в ч. 4 ст. 18 Федерального закона:
▪ название и адрес компании или Ф. И. О. её представителя;
▪ цель обработки ПДн и её правовое основание;
▪ список ПДн;
▪ предполагаемые пользователи ПДн;
▪ права субъектов ПДн, установленные Федеральным законом;
▪ источник получения ПДн.
• Принимать необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения и других незаконных действий.
• Разместить в интернете документ, описывающий политику компании в отношении обработки ПДн, и предоставить доступ к информации о мерах по защите ПДн.
• Предоставить возможность ознакомиться с ПДн субъектам ПДн и их представителям по запросу в течение 10 рабочих дней (срок может быть увеличен до 5 дней с уведомлением субъекта).
• Предоставить информацию о причинах и правовых основаниях невозможности заключения, исполнения, изменения или расторжения договора без предоставления ПДн в течение 7 календарных дней после получения письменного запроса (если иное не указано в запросе).
• Предоставить информацию о причинах и правовых основаниях невозможности заключения, исполнения, изменения или расторжения договора без предоставления ПДн по устному запросу незамедлительно.
▪ Компания обязуется блокировать неправомерно обрабатываемые ПДн субъекта ПДн или обеспечивать такую блокировку (если обработка ПДн осуществляется другим лицом по поручению Компании) с момента обращения или получения запроса на период проверки, в случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн.
▪ Компания обязуется уточнить ПДн или обеспечить их уточнение (если обработка ПДн осуществляется другим лицом по поручению Компании) в течение 7 рабочих дней со дня представления сведений и снять блокировку ПДн в случае подтверждения факта неточности ПДн на основании сведений, предоставленных субъектом ПДн или его представителем.
▪ Компания обязуется прекратить неправомерную обработку ПДн или обеспечить прекращение такой обработки лицом, действующим по поручению Компании, в случае выявления неправомерной обработки ПДн, осуществляемой Компанией или лицом, действующим на основании договора с Компанией, в срок, не превышающий 3 рабочих дней с даты выявления.
▪ Компания обязуется прекратить обработку ПДн или обеспечить её прекращение (если обработка ПДн осуществляется другим лицом по договору с Компанией) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом по договору с Компанией) по достижении цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.
▪ Компания обязуется прекратить обработку ПДн или обеспечить её прекращение и уничтожить ПДн или обеспечить их уничтожение в течение 30 дней с даты поступления отзыва субъекта ПДн согласия на обработку ПДн, если Компания не вправе продолжить обработку ПДн без согласия субъекта ПДн.
▪ Компания обязуется прекратить обработку ПДн или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПДн), в случае обращения субъекта ПДн к Компании с требованием о прекращении обработки ПДн, в течение 10 рабочих дней с даты получения оператором соответствующего требования, если иное не предусмотрено законодательством РФ. В случае наличия мотивированных оснований указанный срок может быть продлён, но не более чем на 5 рабочих дней, в таком случае Компания обязана направить в адрес субъекта ПДн уведомление с указанием причин продления срока предоставления запрашиваемой информации.
7. Меры по обеспечению безопасности ПДн при их обработке
7.1. Компания предпринимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения и других незаконных действий.
7.2. Эти меры включают:
• назначение ответственных лиц за организацию обработки и обеспечение безопасности персональных данных;
• ограничение круга лиц, имеющих доступ к персональным данным;
• разработку и утверждение локальных нормативных актов по вопросам обработки и защиты персональных данных;
• применение правовых, организационных и технических мер для обеспечения безопасности персональных данных:
▪ Выявление потенциальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (далее — ИС ПДн).
▪ Применение организационных и технических мер для обеспечения безопасности персональных данных при их обработке в ИС ПДн, соответствующих требованиям к защите ПДн, которые обеспечивают установленные правительством Российской Федерации уровни защищённости ПДн.
▪ Использование средств защиты информации, прошедших соответствующую оценку соответствия.
▪ Оценка эффективности принятых мер по обеспечению безопасности персональных данных перед вводом ИС ПДн в эксплуатацию.
▪ Контроль за хранением персональных данных на машинных носителях.
▪ Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер для предотвращения подобных ситуаций в будущем.
▪ Восстановление персональных данных, изменённых или уничтоженных в результате несанкционированного доступа к ним.
▪ Определение правил доступа к персональным данным, обрабатываемым в ИС ПДн, а также регистрация и учёт всех действий, производимых с ними в ИС ПДн.
• Контроль за мерами безопасности и уровнем защиты ПДн в ИСПДн.
• Оценка возможного ущерба субъектам ПДн в случае нарушения Федерального закона и сопоставление этого ущерба с мерами, принятыми компанией для выполнения своих обязательств.
• Соблюдение условий, предотвращающих несанкционированный доступ к физическим носителям ПДн и обеспечивающих их сохранность.
• Информирование сотрудников, непосредственно работающих с ПДн, о законодательных актах РФ, касающихся ПДн, требованиях к их защите, локальных нормативных документах по обработке и защите ПДн, а также обучение персонала.
8. Порядок уничтожения ПДн
8.1. Персональные данные субъектов ПДн, обрабатываемые в рамках указанных в приложении к политике целей (см. приложение А), должны быть уничтожены, если это не противоречит законодательству РФ и соглашениям между компанией и субъектом ПДн или между компанией и операторами ПДн. Это необходимо сделать в следующих ситуациях:
• выявление неправомерной обработки ПДн и невозможность устранить нарушения;
• требование субъекта ПДн или уполномоченного органа по защите прав субъектов ПДн, если данные неполные, устаревшие, недостоверные, получены незаконно или не нужны для заявленных целей обработки;
• отзыв субъектом ПДн своего согласия на обработку данных;
• достижение целей обработки или отсутствие необходимости в их достижении.
8.2. Удаление персональных данных определённого субъекта ПДн происходит в ответ на запрос этого субъекта.
8.3. Если срок хранения ПДн истёк (в связи с завершением обработки или отсутствием потребности в них), уничтожение должно произойти не позднее 30 календарных дней после окончания периода хранения.
8.4. Персональные данные должны быть удалены с всех материальных носителей и из информационных систем персональных данных.
9. Порядок получения разъяснений по вопросам обработки ПДн
9.1. Субъекты персональных данных, чьи данные обрабатываются Компанией, имеют право получить информацию о том, как обрабатываются их данные. Для этого они могут обратиться в Компанию следующими способами:
• отправить запрос через Почту России по указанному выше адресу: отделение №143442, 143442, Московская область, Красногорск городской округ, пгт Отрадное, ЖК Отрада, Пятницкая улица, 16.
• личное обращение в компанию;
• отправить электронное письмо на указанный адрес электронной почты: regards.shop@inbox.ru
9.2. При отправке официального запроса в Компанию необходимо включить следующие пункты в текст запроса:
• фамилию, имя и отчество субъекта ПДн или его представителя;
• номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, а также дату выдачи и орган, выдавший документ;
• информацию, подтверждающую наличие отношений между субъектом ПДн и Компанией;
• контактные данные для обратной связи с целью получения ответа от Компании;
• подпись субъекта ПДн (или его представителя). Если запрос отправляется в электронной форме, он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
9.3. Ссылки на другие ресурсы где может быть документ/обращение не принимаются ввиду безопасности компании.
10. Заключительные положения
10.1. Политика конфиденциальности является внутренним документом компании и находится в открытом доступе. Размещение политики на официальном сайте компании обеспечивает её доступность для всех пользователей.
10.2. Остальные права и обязанности компании как оператора персональных данных регулируются законодательством Российской Федерации в области защиты персональных данных.
11. Ответственность и обязанности
11.1. Невыполнение требований настоящей Политики влечёт ответственность для компании и её сотрудников в соответствии с действующим законодательством РФ.
11.2. Контроль соблюдения требований Политики осуществляет сотрудник, ответственный за обработку персональных данных в компании.
12. Актуализация Политики
12.1. Политика должна регулярно пересматриваться при возникновении одного из следующих обстоятельств:
• решение руководства компании;
• изменение законодательства РФ в сфере обработки и защиты ПДн;
• получение предписаний от уполномоченного органа по защите прав субъектов ПДн для устранения несоответствий, касающихся сферы действия Политики;
• необходимость изменения процесса обработки ПДн, связанная с деятельностью компании.
12.2. Внеочередной пересмотр, дополнение и изменение Политики могут инициировать руководство компании и соответствующие подразделения компании.
1.1. Настоящая политика в отношении обработки персональных данных (далее – Политика) подготовлена в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона РФ «О персональных данных» №152-ФЗ от 27.07.2006 (далее – Федеральный закон) и определяет позицию Индивидуального предпринимателя Городецкого Александра Геннадьевича (далее – Компания) в области обработки и защиты персональных данных (далее – ПДн), соблюдения прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Понимая важность и ценность ПДн, а также заботясь о соблюдении конституционных прав граждан РФ и граждан других государств, Компания обеспечивает надежную защиту ПДн.
1.3. Политика распространяется на ПДн, полученные как до, так и после ввода в действие Политики.
2. Термины и определения
Автоматизированная обработка персональных данных – обработка персональных данных с использованием средств вычислительной техники.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Доступ к персональным данным – возможность получения персональных данных и их использования.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных – обязательное для соблюдения Компанией или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Несанкционированный доступ – доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152 ФЗ «О персональных данных».
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
3. Обозначения и сокращения
Политика – Политика в отношении обработки персональных данных Индивидуального предпринимателя Городецкого Александра Геннадьевича.
ИСПДн – Информационная система персональных данных.
Компания – Индивидуального предпринимателя Городецкого Александра Геннадьевича (сайт: www.regard-s.ru).
ПДн – Персональные данные.
Федеральный закон – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
Иные термины, обозначения и сокращения, используемые в Политике, определены в Глоссарии информационной безопасности Индивидуального предпринимателя Городецкого Александра Геннадьевича.
4. Правовые основания и цели обработки персональных данных
4.1. В компании обработка и защита персональных данных (ПДн) происходит согласно требованиям Конституции РФ, федерального законодательства, Трудового кодекса РФ, нормативных актов и федеральных законов РФ, регулирующих особенности обработки ПДн, руководящих и методических материалов ФСТЭК России и ФСБ России.
4.2. Субъектами ПДн, чьи данные обрабатываются в Компании, являются:
• соискатели — физические лица, претендующие на трудоустройство в компании;
• работники компании — физические лица, находящиеся в трудовых отношениях с компанией;
• уволившиеся работники — физические лица, ранее состоявшие в трудовых отношениях с компанией;
• сотрудники сторонних организаций — это представители юридических лиц и индивидуальные предприниматели, которые заключили контракты с компанией или находятся на стадии предварительных переговоров, а также участвуют в текущей деятельности компании;
• контрагенты — физические лица, предоставляющие услуги компании на основе гражданско-правовых договоров;
• индивидуальные предприниматели — физические лица, зарегистрированные в соответствии с законодательством и осуществляющие предпринимательскую деятельность без образования юридического лица;
• посетители — физические лица, не являющиеся сотрудниками компании или контрагентами, посещающие её отделения;
• покупатели — физические лица, связанные договорными отношениями с компанией, приобретающие её товары и пользующиеся услугами, а также их представители;
• участники бонусной программы — физические лица, зарегистрированные в программе лояльности компании;
• победители конкурсов — физические лица, победившие в конкурсах, организованных компанией;
• пользователи сайта компании — физические лица, посещающие сайт компании в интернете.
4.3. Цели обработки ПДн, категории и перечень обрабатываемых ПДн, категории субъектов ПДн, способы, сроки их обработки и хранения приведены в приложении к Политике (см. Приложение А).
5. Принципы и условия обработки ПДн
5.1. При обработке ПДн Компания придерживается следующих принципов:
• Обработка персональных данных (ПДн) должна осуществляться на основе закона и справедливости.
• ПДн не должны раскрываться третьим лицам и распространяться без согласия субъекта ПДн, за исключением случаев, предусмотренных законом, таких как запросы от уполномоченных государственных органов или для обеспечения правосудия, исполнения судебных решений и других актов, подлежащих исполнению в соответствии с законодательством РФ.
• Определение конкретных и законных целей перед началом обработки ПДн.
• Сбор только тех ПДн, которые необходимы и достаточны для заявленной цели обработки.
• Недопустимо объединение баз данных, содержащих ПДн, обрабатываемых для несовместимых целей.
• Обработка ПДн должна быть ограничена конкретными, заранее определёнными и законными целями.
• При обработке ПДн необходимо обеспечивать точность, достаточность и актуальность данных относительно заявленных целей их обработки.
• Обрабатываемые ПДн должны быть уничтожены или обезличены после достижения целей обработки или при отсутствии необходимости в их достижении, если иное не предусмотрено законодательством РФ.
5.2. Компания может публиковать ПДн субъекта ПДн в общедоступных источниках, предварительно получив письменное согласие от самого субъекта на обработку его данных.
5.3. Компания не обрабатывает ПДн, связанные с расовой, национальной принадлежностью, политическими взглядами, религиозными, философскими и другими убеждениями, личной жизнью, членством в общественных организациях, включая профсоюзы.
5.4. Компания обрабатывает ПДн о состоянии здоровья субъекта ПДн в определённых ситуациях:
• Субъект персональных данных дал своё письменное согласие на обработку своих данных. Это предусмотрено законодательством о государственной социальной помощи и трудовым законодательством.
• Обработка персональных данных необходима для защиты жизни, здоровья или других жизненно важных интересов работника компании или других лиц, когда получение согласия субъекта невозможно.
• Также обработка персональных данных нужна для установления или реализации прав субъекта или третьих лиц.
• В соответствии с законодательством Российской Федерации об обороне, безопасности и противодействии коррупции, обработка персональных данных осуществляется.
• Это касается оказания материальной помощи работникам компании.
5.5. Обработка данных о судимости может проводиться компанией только в случаях и в порядке, определённых федеральным законодательством.
5.6. Обработка данных, разрешённых субъектом для распространения, возможна только при его согласии.
5.7. Компания может обрабатывать биометрические данные с письменного разрешения субъекта в случаях предоставления доступа на территорию компании и учёта рабочего времени.
5.8. В соответствии с российским законодательством компания имеет право передавать данные третьим лицам, таким как Федеральная налоговая служба и другие государственные органы, без согласия субъекта.
5.9. Компания может поручать обработку данных субъектов третьим лицам с согласия субъекта на основе заключённого договора.
5.10. Лица, обрабатывающие данные на основании договора с компанией (оператора), обязаны соблюдать требования федерального законодательства.
5.11. Если компания поручает обработку данных другому лицу, ответственность перед субъектом данных несёт компания. Лицо, обрабатывающее данные по поручению компании, отвечает перед компанией. Это лицо также отвечает перед субъектом данных в случаях, предусмотренных законодательством.
5.12. При трансграничной передаче данных компания обязана выполнять свои обязательства, определённые законодательством.
5.13. Трансграничная передача персональных данных на территории иностранных государств может осуществляться в соответствии с законодательством.
5.14. Для соблюдения требований российского законодательства и договорных обязательств, обработка персональных данных в компании может осуществляться как автоматически, так и без использования автоматизированных средств. Операции обработки включают сбор, запись, систематизацию, накопление, хранение, обновление, изменение, извлечение, использование, передачу, обезличивание, блокировку, удаление и уничтожение персональных данных.
5.15. В компании запрещено принимать решения, которые могут привести к юридическим последствиям для субъекта персональных данных или повлиять на его права и законные интересы исключительно на основе автоматизированной обработки данных, за исключением случаев, предусмотренных законодательством Российской Федерации.
6. Права и обязанности субъектов ПДн, а также Компании в части обработки ПДн
6.1. Субъект персональных данных самостоятельно принимает решение о предоставлении своих данных и соглашается на их обработку свободно, по собственной воле и в своих интересах. Согласие на обработку данных может быть предоставлено субъектом или его представителем в любой форме, подтверждающей факт его получения, если иное не установлено федеральным законом.
6.2. Обработка персональных данных для продвижения товаров, работ и услуг на рынке путём прямых контактов с потенциальными клиентами через средства связи разрешается только при предварительном согласии субъекта персональных данных.
6.3. За исключением случаев, предусмотренных федеральным законом, компания обязана незамедлительно прекратить обработку персональных данных по письменному требованию или требованию в другой форме, указанной в согласии субъекта персональных данных. Требование должно содержать информацию, позволяющую идентифицировать субъекта персональных данных.
6.4. В согласии на обработку персональных данных, разрешённых субъектом для распространения, субъект персональных данных может устанавливать запреты на передачу (кроме предоставления доступа) этих данных неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий не допускается.
6.5. Субъект персональных данных, чьи данные обрабатываются компанией, имеет право:
• Субъект имеет право получать от компании информацию об обработке его персональных данных в объёме, определённом Федеральным законом. Также он может требовать от компании уточнения, блокировки или удаления своих персональных данных, если они неполные, устаревшие, неточные, получены незаконно или не требуются для заявленной цели обработки.
• Субъект имеет право запрашивать у компании информацию о конкретных причинах и правовых основаниях, которые определяют невозможность заключения, исполнения, изменения или расторжения договора без предоставления персональных данных.
• Субъект имеет право отозвать своё согласие на обработку персональных данных в любое время, а также требовать прекращения обработки его данных.
• Субъект имеет право требовать устранения неправомерных действий компании в отношении его персональных данных и обжаловать действия или бездействие компании в Роскомнадзор или суд, если считает, что компания обрабатывает его персональные данные с нарушением требований Федерального закона или иным образом нарушает его права и свободы.
6.6. Компания в процессе обработки ПДн обязана:
• Предоставить субъекту ПДн запрошенную информацию об обработке его данных в течение 10 рабочих дней с момента получения запроса от него или его представителя. В случае наличия обоснованных причин этот срок может быть увеличен ещё на 5 рабочих дней, о чём Компания должна уведомить субъекта ПДн с объяснением причин задержки.
• Компания обязана разъяснить субъекту ПДн юридические последствия отказа предоставить данные, если это требуется согласно законодательству РФ.
• До начала обработки ПДн (если данные получены не от самого субъекта) необходимо предоставить ему следующую информацию, за исключением случаев, указанных в ч. 4 ст. 18 Федерального закона:
▪ название и адрес компании или Ф. И. О. её представителя;
▪ цель обработки ПДн и её правовое основание;
▪ список ПДн;
▪ предполагаемые пользователи ПДн;
▪ права субъектов ПДн, установленные Федеральным законом;
▪ источник получения ПДн.
• Принимать необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения и других незаконных действий.
• Разместить в интернете документ, описывающий политику компании в отношении обработки ПДн, и предоставить доступ к информации о мерах по защите ПДн.
• Предоставить возможность ознакомиться с ПДн субъектам ПДн и их представителям по запросу в течение 10 рабочих дней (срок может быть увеличен до 5 дней с уведомлением субъекта).
• Предоставить информацию о причинах и правовых основаниях невозможности заключения, исполнения, изменения или расторжения договора без предоставления ПДн в течение 7 календарных дней после получения письменного запроса (если иное не указано в запросе).
• Предоставить информацию о причинах и правовых основаниях невозможности заключения, исполнения, изменения или расторжения договора без предоставления ПДн по устному запросу незамедлительно.
▪ Компания обязуется блокировать неправомерно обрабатываемые ПДн субъекта ПДн или обеспечивать такую блокировку (если обработка ПДн осуществляется другим лицом по поручению Компании) с момента обращения или получения запроса на период проверки, в случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн.
▪ Компания обязуется уточнить ПДн или обеспечить их уточнение (если обработка ПДн осуществляется другим лицом по поручению Компании) в течение 7 рабочих дней со дня представления сведений и снять блокировку ПДн в случае подтверждения факта неточности ПДн на основании сведений, предоставленных субъектом ПДн или его представителем.
▪ Компания обязуется прекратить неправомерную обработку ПДн или обеспечить прекращение такой обработки лицом, действующим по поручению Компании, в случае выявления неправомерной обработки ПДн, осуществляемой Компанией или лицом, действующим на основании договора с Компанией, в срок, не превышающий 3 рабочих дней с даты выявления.
▪ Компания обязуется прекратить обработку ПДн или обеспечить её прекращение (если обработка ПДн осуществляется другим лицом по договору с Компанией) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом по договору с Компанией) по достижении цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.
▪ Компания обязуется прекратить обработку ПДн или обеспечить её прекращение и уничтожить ПДн или обеспечить их уничтожение в течение 30 дней с даты поступления отзыва субъекта ПДн согласия на обработку ПДн, если Компания не вправе продолжить обработку ПДн без согласия субъекта ПДн.
▪ Компания обязуется прекратить обработку ПДн или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПДн), в случае обращения субъекта ПДн к Компании с требованием о прекращении обработки ПДн, в течение 10 рабочих дней с даты получения оператором соответствующего требования, если иное не предусмотрено законодательством РФ. В случае наличия мотивированных оснований указанный срок может быть продлён, но не более чем на 5 рабочих дней, в таком случае Компания обязана направить в адрес субъекта ПДн уведомление с указанием причин продления срока предоставления запрашиваемой информации.
7. Меры по обеспечению безопасности ПДн при их обработке
7.1. Компания предпринимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения и других незаконных действий.
7.2. Эти меры включают:
• назначение ответственных лиц за организацию обработки и обеспечение безопасности персональных данных;
• ограничение круга лиц, имеющих доступ к персональным данным;
• разработку и утверждение локальных нормативных актов по вопросам обработки и защиты персональных данных;
• применение правовых, организационных и технических мер для обеспечения безопасности персональных данных:
▪ Выявление потенциальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (далее — ИС ПДн).
▪ Применение организационных и технических мер для обеспечения безопасности персональных данных при их обработке в ИС ПДн, соответствующих требованиям к защите ПДн, которые обеспечивают установленные правительством Российской Федерации уровни защищённости ПДн.
▪ Использование средств защиты информации, прошедших соответствующую оценку соответствия.
▪ Оценка эффективности принятых мер по обеспечению безопасности персональных данных перед вводом ИС ПДн в эксплуатацию.
▪ Контроль за хранением персональных данных на машинных носителях.
▪ Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер для предотвращения подобных ситуаций в будущем.
▪ Восстановление персональных данных, изменённых или уничтоженных в результате несанкционированного доступа к ним.
▪ Определение правил доступа к персональным данным, обрабатываемым в ИС ПДн, а также регистрация и учёт всех действий, производимых с ними в ИС ПДн.
• Контроль за мерами безопасности и уровнем защиты ПДн в ИСПДн.
• Оценка возможного ущерба субъектам ПДн в случае нарушения Федерального закона и сопоставление этого ущерба с мерами, принятыми компанией для выполнения своих обязательств.
• Соблюдение условий, предотвращающих несанкционированный доступ к физическим носителям ПДн и обеспечивающих их сохранность.
• Информирование сотрудников, непосредственно работающих с ПДн, о законодательных актах РФ, касающихся ПДн, требованиях к их защите, локальных нормативных документах по обработке и защите ПДн, а также обучение персонала.
8. Порядок уничтожения ПДн
8.1. Персональные данные субъектов ПДн, обрабатываемые в рамках указанных в приложении к политике целей (см. приложение А), должны быть уничтожены, если это не противоречит законодательству РФ и соглашениям между компанией и субъектом ПДн или между компанией и операторами ПДн. Это необходимо сделать в следующих ситуациях:
• выявление неправомерной обработки ПДн и невозможность устранить нарушения;
• требование субъекта ПДн или уполномоченного органа по защите прав субъектов ПДн, если данные неполные, устаревшие, недостоверные, получены незаконно или не нужны для заявленных целей обработки;
• отзыв субъектом ПДн своего согласия на обработку данных;
• достижение целей обработки или отсутствие необходимости в их достижении.
8.2. Удаление персональных данных определённого субъекта ПДн происходит в ответ на запрос этого субъекта.
8.3. Если срок хранения ПДн истёк (в связи с завершением обработки или отсутствием потребности в них), уничтожение должно произойти не позднее 30 календарных дней после окончания периода хранения.
8.4. Персональные данные должны быть удалены с всех материальных носителей и из информационных систем персональных данных.
9. Порядок получения разъяснений по вопросам обработки ПДн
9.1. Субъекты персональных данных, чьи данные обрабатываются Компанией, имеют право получить информацию о том, как обрабатываются их данные. Для этого они могут обратиться в Компанию следующими способами:
• отправить запрос через Почту России по указанному выше адресу: отделение №143442, 143442, Московская область, Красногорск городской округ, пгт Отрадное, ЖК Отрада, Пятницкая улица, 16.
• личное обращение в компанию;
• отправить электронное письмо на указанный адрес электронной почты: regards.shop@inbox.ru
9.2. При отправке официального запроса в Компанию необходимо включить следующие пункты в текст запроса:
• фамилию, имя и отчество субъекта ПДн или его представителя;
• номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, а также дату выдачи и орган, выдавший документ;
• информацию, подтверждающую наличие отношений между субъектом ПДн и Компанией;
• контактные данные для обратной связи с целью получения ответа от Компании;
• подпись субъекта ПДн (или его представителя). Если запрос отправляется в электронной форме, он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
9.3. Ссылки на другие ресурсы где может быть документ/обращение не принимаются ввиду безопасности компании.
10. Заключительные положения
10.1. Политика конфиденциальности является внутренним документом компании и находится в открытом доступе. Размещение политики на официальном сайте компании обеспечивает её доступность для всех пользователей.
10.2. Остальные права и обязанности компании как оператора персональных данных регулируются законодательством Российской Федерации в области защиты персональных данных.
11. Ответственность и обязанности
11.1. Невыполнение требований настоящей Политики влечёт ответственность для компании и её сотрудников в соответствии с действующим законодательством РФ.
11.2. Контроль соблюдения требований Политики осуществляет сотрудник, ответственный за обработку персональных данных в компании.
12. Актуализация Политики
12.1. Политика должна регулярно пересматриваться при возникновении одного из следующих обстоятельств:
• решение руководства компании;
• изменение законодательства РФ в сфере обработки и защиты ПДн;
• получение предписаний от уполномоченного органа по защите прав субъектов ПДн для устранения несоответствий, касающихся сферы действия Политики;
• необходимость изменения процесса обработки ПДн, связанная с деятельностью компании.
12.2. Внеочередной пересмотр, дополнение и изменение Политики могут инициировать руководство компании и соответствующие подразделения компании.
Прочая информация
Дети любых возрастов могут беспрепятственно пользоваться данным сайтом.
Красота поступка состоит прежде всего в том, что его совершают легко и как бы безо всякого напряжения.
Иммануил Кант
Иммануил Кант