Положение о порядке обработки персональных данных в группе компаний «Строй Парк».
1. Общие положения
Положение о порядке обработки персональных данных в (далее – Положение) разработано в целях обеспечения требований законодательства РФ в области персональных данных, защиты от несанкционированного доступа и разглашения персональных данных, обрабатываемых группой компаний «Строй Парк».
Под группой компаний понимаются ООО «Строй Парк» и юридические лица, управляемые ООО «Строй Парк» - ООО «СП-Центр», ООО «Строй Парк-Р», ООО «Строй Парк-Логистик» (далее – Группа компаний, Компания).
2. К субъектам персональных данных, обрабатываемых в Компании, относятся потребители, посетители сайта в сети Интернет – физические лица, имеющее намерение заказать или приобрести либо заказывающие, приобретающие или использующие товары (работы, услуги) исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности (покупатели, заказчики работ (услуг)).
3. Состав персональных данных и цели обработки.
Субъекты ПДн | Состав ПДн | Цель обработки |
Потребители | Сведения о физических лицах:
|
Соблюдение прав и законных интересов потребителей, исполнение требований законодательства РФ, регулирующего заключение и исполнение публичных договоров по продаже товаров, оказания услуг, проведения работ, исполнение требований законодательства о защите прав потребителей, в том числе продажи товаров и/или оказания услуг, включая, но не ограничиваясь информированием о заказе, ведением претензионной работы, анализом качества предоставляемого сервиса и улучшением качества обслуживания, оказанием услуг по доставке, установке и ремонту товара, реализацией возможности возврата товара, оказанием услуги по проверке качества товара/экспертизы, защита прав и законных интересов группы компаний «Строй Парк» в судебном и во внесудебном порядке, а также в целях проведения маркетинговых и иных исследований, оказания услуг агентов и сервисных услуг |
Посетители сайта в сети Интернет |
|
Соблюдение прав и законных интересов посетителей сайта, исполнение требований законодательства РФ, регулирующего заключение и исполнение публичных договоров по продаже товаров, оказания услуг, проведения работ, исполнение требований законодательства о защите прав потребителей, в том числе продажи товаров и/или оказания услуг, включая, но не ограничиваясь информированием о заказе, ведением претензионной работы, анализом качества предоставляемого сервиса и улучшением качества обслуживания, оказанием услуг по доставке, установке и ремонту товара, реализацией возможности возврата товара, оказанием услуги по проверке качества товара/экспертизы, защита прав и законных интересов группы компаний «Строй Парк» в судебном и во внесудебном порядке, а также в целях проведения маркетинговых и иных исследований, оказания услуг агентов и сервисных услуг |
При определении объема и характера обрабатываемых персональных данных Компания руководствуется указанными выше целями обработки персональных данных.
4. Права и обязанности Группы компаний при обработке персональных данных
Компания как оператор персональных данных, вправе:
- Защищать свои права и законные интересы в суде.
- Предоставлять персональные данные субъектов ПДн третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.).
- Отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством.
- Поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных». В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных.
Компания как оператор персональных данных, обязана:
- Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, связанных с обработкой персональных данных, предусмотренных законодательством Российской Федерации.
- Осуществлять обработку персональных данных субъектов с соблюдением принципов и правил, предусмотренных законодательством РФ.
- Безвозмездно предоставить субъекту ПДн или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту ПДн.
- В случае отказа в предоставлении субъекту ПДн информации о наличии ПДн о соответствующем субъекте ПДн, дать в письменной форме мотивированный ответ в течение 30 дней со дня получения письменного запроса.
- Внести изменения, уничтожить или блокировать в срок, не превышающий 7 дней, соответствующие персональные данные при предоставлении субъектом ПДн или его законным представителем сведений, подтверждающих, что персональные данные являются неполными, устаревшими, недостоверными. О внесенных изменениях и предпринятых мерах необходимо уведомить субъекта ПДн и третьих лиц, которым персональные данные этого субъекта были переданы.
- В случае достижения цели обработки персональных данных субъектов ПДн прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий 3-х рабочих дней, если иное не предусмотрено федеральными законами.
- В случае отзыва субъектом согласия на обработку своих персональных данных прекратить обработку и уничтожить персональные данные в срок, не превышающий 3-х рабочих дней с даты поступления отзыва, если иное не предусмотрено федеральными законами.
- Исключить из общедоступных источников в рамках Компании персональные данные по требованию субъекта.
- Сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение 30 дней с даты получения такого запроса.
5. Права субъекта персональных данных
Субъект ПДн вправе:
- Получать информацию, касающуюся обработки его персональных данных, в том числе содержащую:
- подтверждение факта обработки персональных данных оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законодательством;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законодательством.
- Направлять запрос в Компанию на предоставление информации об обработке в Компании своих персональных данных.
- Отозвать согласие на обработку ПДн.
- Обжаловать в суде любые неправомерные действия или бездействие Компании при обработке и защите его персональных данных.
6. Порядок сбора персональных данных потребителей и их представителей, посетителей сайта в сети Интернет.
Условия получения персональных данных потребителей и их представителей в целях заключения, исполнения гражданско-правовых договоров определены действующим законодательством РФ.
Персональные данные потребителей и/или их представителей получаются при заполнении утвержденных в Группе компаний бланков претензий, заявлений, заказов, в том числе путем заполнения форм на сайте интернет-магазина Компании в сети Интернет, при этом условия получения ПДн, определяется в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и размещены на сайте Компании.
Согласие на обработку персональных данных не требуется для исполнения договора, стороной по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных, в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах, если обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
7. Передача персональных данных
Органам государственной власти, иным государственным органам, органам местного самоуправления, обладающим правом на получение информации, содержащей ПДн в соответствии с действующим законодательством Российской Федерации, ПДн передаются в пределах, необходимых для выполнения ими своих полномочий при мотивированном запросе.
Передача персональных данных третьим лицам (юридическим и/или физическим лицам) может осуществляться только с письменного согласия субъекта ПДн.
В случае если Группа компаний на основании договора поручает обработку персональных данных другому лицу, одним из условий договора является обязанность обеспечения указанным лицом конфиденциальности данных и безопасности персональных данных при их обработке.
Документы, содержащие персональные данные, передаются через организации, специализирующиеся на почтовых рассылках, организацию федеральной почтовой связи, а также лично работникам сторонних организаций под роспись.
Электронные документы, содержащие ПДн, передаются на учтенных носителях информации и/или по телекоммуникационным каналам связи при использовании средств криптографической защиты информации.
8. Доступ к персональным данным
Доступ к персональным данным ограничивается в соответствии с федеральными законами РФ, настоящим Положением.
Работники Компании и третьи лица не вправе разглашать полученные ими в результате своей профессиональной деятельности сведения о субъектах ПДн.
В Группе компаний утвержден «Перечень должностей, замещение которых предполагает обработку ПДн».
Работникам, которым необходим доступ к ПДн для исполнения своих должностных обязанностей, предоставляется доступ в соответствии с «Порядком доступа в помещения, в которых ведется обработка ПДн» и «Инструкцией по предоставлению доступа к ИСПДн».
Работники имеют право получать только те ПДн, которые необходимы им для выполнения своих должностных обязанностей, и использовать их лишь в целях, для которых они получены.
Работники, получившие доступ к ПДн, принимают обязательства о соблюдении режима конфиденциальности персональных данных.
Руководители структурных подразделений Компании обязаны обеспечивать контроль за допуском работников к ПДн и принимать меры по обоснованному ограничению количества лиц, имеющих доступ к соответствующим документам и ИСПДн.
Доступ работников к материальным (бумажным) носителям ПДн и местам их хранения определяется в соответствии с «Перечнем мест хранения материальных носителей ПДн, обрабатываемых без использования средств автоматизации», утверждаемым приказом по Компании.
Доступ к ПДн органам государственной власти предоставляется в случаях, предусмотренных Федеральными законами, в том числе:
- в целях предупреждения угрозы жизни и здоровья субъекта ПДн;
- в целях защиты основ конституционного строя, нравственности, прав и законных интересов других лиц;
- в целях обеспечения обороны страны и безопасности государства, в том числе при поступлении официальных запросов в соответствии с положениями Федерального закона от 12.08.1995 № 144-ФЗ «Об оперативно-розыскной деятельности».
В соответствии с Федеральным законом от 27.12.1991 № 2124-1 «О средствах массовой информации» средства массовой информации (далее - СМИ) имеют право обращаться с запросами, в ответ на которые организация обязана предоставить необходимые СМИ сведения, если они не составляют коммерческую тайну или иную специально охраняемую законом тайну.
Группа компаний может предоставлять средствам массовой информации только общедоступные персональные данные.
Третьи лица для получения доступа к персональным данным обязаны предоставить в Группу компаний в письменной форме запрос.
Персональные данные субъекта могут быть представлены третьим лицам только с письменного согласия субъекта.
В случае принятия решения о предоставлении доступа к ПДн субъекта организации и/или третьему лицу Компания направляет ответ о предоставлении информации в письменной форме.
Обращения (запросы) на предоставление доступа к обрабатываемым персональным данным с отметкой о предоставлении информации по запросу или отказе в предоставлении информации по запросу фиксируется в соответствующем Журнале учета обращений субъектов ПДн.
Предоставление доступа к ПДн субъектов организациям, физическим лицам, которые на основании договоров осуществляют обработку ПДн, в порядке, установленном законодательством РФ, Компания ограничивает эту информацию только теми ПДн, которые необходимы для выполнения указанными лицами их функций (услуг, работ).
9. Порядок хранения и уничтожения материальных носителей персональных данных
Хранение ПДн осуществляется не дольше, чем этого требуют цели их обработки, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн.
Учет, хранение, обращение материальных носителей ПДн, осуществляется в соответствии с правилами, установленными внутренними организационно-распорядительными документами Компании и действующим законодательством.
Хранение материальных носителей ПДн осуществляется:
- в специально оборудованных помещениях, обеспеченных противопожарной сигнализацией, огнетушителем;
- в электронных хранилищах (базах данных) информации (серверы, персональные компьютеры, ноутбуки, твердотельные устройства памяти, переносные жесткие диски и т. п.) с применением информационных технологий.
С момента заведения и до передачи в архив Компании материальные носители ПДн хранятся в соответствии с «Перечнем мест хранения материальных носителей персональных данных, обрабатываемых без использования средств автоматизации».
При необходимости распространения персональные данные могут помещаться на электронные носители информации. Регистрация и учет электронных носителей персональных данных ведется работниками структурных подразделения в соответствии с «Регламентом учета, использования и уничтожения МНИ».
За сохранность конкретного носителя ПДн отвечает работник, получивший данный носитель в пользование, под роспись в Журнале учета МНИ.
О фактах утраты материальных носителей ПДн либо разглашения содержащихся в них сведений немедленно ставятся в известность непосредственный руководитель и руководитель подразделения ИБ.
Запрещается хранить материальные носители ПДн в не запираемых ящиках рабочих столов и других, неприспособленных для этого местах.
10. Сроки хранения персональных данных.
Группа компаний осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
11. Порядок уничтожения персональных данных.
Персональные данные, материальные носители ПДн должны быть уничтожены после достижения целей их обработки и/или по истечении срока хранения ПДн.
Отбор (выделение) и уничтожение материалов, содержащих персональные данные, производится Комиссией. Комиссия и ее состав назначаются приказом руководителя Компании. Деятельность комиссии регулируется отдельными локальными нормативными актами Компании.
Отобранные к уничтожению материальные носители ПДн:
- измельчаются механическим способом на специальном оборудовании до степени, исключающей возможность прочтения текста;
- ПДн, хранящиеся на магнитных носителях, подлежат обязательному удалению путем полного форматирования носителя или уничтожения носителя на специальном оборудовании, о чем делается отметка в Журнале учета, в котором был зарегистрирован носитель.
- при необходимости обезличивания части персональных данных, если это допускается материальным носителем, производится удаление (вымарывание) данных, исключающее дальнейшую обработку этих персональных данных.
12. Ответственность
Ответственность за нарушение Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных» выражается в виде уголовной, административной, дисциплинарной и иной, предусмотренной законодательством Российской Федерации, ответственности.
Ответственность за выполнение обязанностей по обеспечению безопасности ПДн, возложенных на структурные подразделения Компании, обрабатывающие ПДн, несут руководители соответствующих подразделений и работники данных подразделений.
В случае нарушения порядка обработки и обеспечения безопасности ПДн работники Компании несут ответственность, предусмотренную ст. 90 ТК РФ, а также гражданско-правовую, административную, уголовную ответственность, предусмотренную действующим законодательством РФ.