Положение

УТВЕРЖДЕНО

Генеральный директор ООО «ДЕКОТЕКС»
Шустов Н.А.

Приложение № 1
к приказу № 1 от 13.01.2020

Положение ООО «ДЕКОТЕКС»
о персональных данных

Содержание

1.                  Общие положения

1.1.             Настоящий документ определяет политику ООО «ДЕКОТЕКС» (далее – Общество) в отношении обработки персональных данных и определяет позицию и намерения Общества в области обработки и защиты персональных данных, с целью соблюдения и защиты прав и свобод каждого человека, описывает порядок сбора, хранения, обработки, использования и передачи персональных данных Обществом.

1.2.             Персональные данные – любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (далее - субъекту персональных данных). К персональным данным также относятся фамилия, имя и отчество физического лица, год и место его рождения, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, адрес регистрации и места нахождения, телефонный абонентский номер, электронный адрес, сведения о профессии, образовании, семейном, социальном и имущественном положении, доходах, месте работы, о состоянии здоровья, а также иная информация предоставляемая субъектом персональных данных, разрешенная им для обработки и позволяющая идентифицировать его.

1.3.             Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без использования таких средств. К таким действиям (операциям) можно отнести: сбор, получение, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данные.

1.4.             Настоящая Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке и обеспечению безопасности персональных данных в компании, а также подлежит доведению до сведения лиц, состоящих в договорных, гражданско-правовых и иных отношениях с компанией, контрагентов и других заинтересованных лиц, персональные данные которых обрабатываются Обществом с применением средств автоматизации и без применения таких средств.

1.5.             Настоящая политика разработана в соответствии с действующим законодательством РФ и неукоснительно соблюдается руководителями и работниками всех структурных подразделений Общества.

2.       Субъекты персональных данных

2.1. К субъектам персональных данных относятся:

2.1.1. работники и бывшие работники Общества, а также их близкие родственники и уполномоченные представители;

2.1.2. субъекты, с которыми планируются и/или заключены договоры гражданско-правового характера;

2.1.3. кандидаты на вакантные должности Общества;

2.1.4. представители юридических лиц, индивидуальных предпринимателей и самозанятых лиц, с которыми планируются и/или заключены договоры.

3.       Цели обработки персональных данных

3.1.             Обработка персональных данных осуществляется Обществом в целях, но не ограничиваясь:

3.1.1.       обеспечения соблюдения действующего законодательства РФ и иных нормативно-правовых актов;

3.1.2.       подготовки, заключения, исполнения и прекращения договоров, заключенных с Обществом;

3.1.3.       продвижения и информирования клиентов о новых товарах и услугах, предлагаемых Обществом (рассылка каталогов, информационных листовок, электронных сообщений на адреса электронной почты клиентов-подписчиков с информацией и рекламными материалами, относящимся к распространяемым компанией товарам и услугам, и т.п.);

3.1.4.       проведение маркетинговых и иных исследований;

3.1.5.       для индивидуального учета клиентских заказов в целях исполнения договоров с контрагентами/клиентами;

3.1.6.       кадрового учета (оформления работников компании в соответствии с требованиями действующего законодательства РФ);

3.1.7.       налогового и бухгалтерского учета;

3.1.8.       принятия решений о возможности заключения трудового договора с лицами, претендующими на открытые вакансии.

4.       Принципы обработки персональных данных

4.1.             При обработке персональных данных Обществом придерживается следующих принципов:

3.1.1.       Общество осуществляет обработку персональных данных только на законной и справедливой основе с соблюдением принципов и правил, предусмотренных действующим законодательством РФ, в т.ч. Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных», и с согласия субъекта персональных данных;

3.1.2.       Общество не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных (если иное не предусмотрено действующим законодательством РФ или договором, заключенным между Обществом и субъектом персональных данных);

3.1.3.       Общество определяет конкретные законные цели до начала обработки (в т.ч. сбора) персональных данных;

3.1.4.       Общество собирает только те персональные данные, которые являются необходимыми и достаточными для определенных целей;

3.1.5.       обработка персональных данных в Обществом ограничивается достижением конкретных, заранее определенных и законных целей;

3.1.6.       при обработке персональных данных Обществом обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных, а также принимаются необходимые меры и обеспечивается их принятие по удалению или уточнению неполных или неточных данных;

3.1.7.       осуществлять хранение персональных данных в форме, позволяющие определить их субъекта, не дольше, чем этого требуют цели обработки персональных данных. Обрабатываемые данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством РФ.

4.                  Основные права и обязанности субъекта персональных данных и Общества

4.1.             Субъект персональных данных имеет право:

4.1.1.       Получать от Общества информацию, касающуюся обработки его персональных данных, в том числе содержащую:

4.1.1.1. подтверждение факта обработки персональных данных Обществом;

4.1.1.2. правовые основания и цели обработки персональных данных;

4.1.1.3. сведения о применяемых Обществом способах обработки персональных данных;

4.1.1.4. сведения о наименовании и местонахождении Общества;

4.1.1.5. сведения о лицах (за исключением работников компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании действующего законодательства РФ;

4.1.1.6. перечень обрабатываемых персональных данных, относящихся к субъекту, от которого поступил запрос, и информацию об источниках их получении, если иной порядок предоставления таких данных не предусмотрен действующим законодательством РФ;

4.1.1.7. сведения о сроках обработки персональных данных, в том числе сроках хранения;

4.1.1.8. наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению Общества;

4.1.1.9. информацию об осуществленной или о предполагаемой трансграничной передаче данных;

4.1.1.10.   сведения о способах и порядке осуществления субъектом персональных данных обязанностей, предусмотренных действующим законодательством РФ;

4.1.1.11.   иные сведения, предусмотренные действующим законодательством РФ.

4.1.2.       Требовать уточнения своих персональных данных, их блокирования или уничтожения, в том числе в случаях, когда персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

4.1.3.       Принимать предусмотренные действующим законодательством РФ меры по защите своих прав;

4.1.4.       Обжаловать действия или бездействия компании в случае, если копания осуществляет обработку его данных с нарушением действующего законодательства РФ.

4.2.       Общество имеет право:

4.2.1.       уничтожать либо обезличивать персональные данные по достижении целей обработки или в случае утраты необходимости в достижении целей;

4.2.2.       поручать обработку персональных данных третьим лицам, на основании заключенного с этими лицами договора (поручения). Лица, осуществляющие обработку персональных данных по поручению Общества, обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные действующим законодательством РФ. Для каждого третьего лица в договоре (поручении) определяется перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность, персональных данных при их обработке, также указываются требования к защите обрабатываемых персональных данных;

4.2.3.       предоставлять персональные данные субъектов по запросу третьим лицам, если это предусмотрено действующим законодательством РФ (налоговые, правоохранительные органы и т.п.);

4.2.4.       инициировать разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

4.2.5.       осуществлять сбор статистики об IP-адресах субъектов персональных данных. Данная информация используется с целью выявления и решения технических проблем, для контроля законности проводимых финансовых платежей;

4.2.6.       отказать в предоставлении субъекту товаров и/или услуг, для оказания которых необходимым и обязательным условием является получение и обработка Обществом персональных данных в случае отказа от их предоставления или при получении требования об удалении персональных данных или прекратить их обработку;

4.2.7.       совершать иные действия, предусмотренные действующим законодательством РФ

4.3.       Общество обязано:

4.3.1.       Предоставлять информацию, предусмотренную п. 4.1.1. настоящего Положения.

4.3.2.       Обеспечивать безопасность персональных данных в соответствии с действующим законодательством РФ и принимать меры для защиты персональных данных.

4.3.3.       При отказе в предоставлении персональных данных субъекту разъяснить последствия такого отказа.

4.3.4.       Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

5.                  Меры для защиты персональных данных

5.1.             Общество принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных и включают в себя в том числе:

5.1.1.1. определять угрозы безопасности персональных данных при их обработке, формировать на их основе модели угроз;

5.1.1.2. осуществлять разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

5.1.1.3. проведение проверок готовности новых средств защиты информации к использованию;

5.1.1.4. осуществлять установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

5.1.1.5. проводить обучение работников и лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

5.1.1.6. осуществлять учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

5.1.1.7. осуществлять учет лиц, допущенных к работе с персональными данными;

5.1.1.8. осуществлять контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

5.1.1.9. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

5.1.1.10.   организация пропускного режима на территорию Общества;

5.1.1.11.   размещение технических средств обработки персональных данных в пределах охраняемой территории;

5.1.1.12.   поддержание технических средств охраны, сигнализации в постоянной готовности;

5.1.1.13.   проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных;

5.1.1.14.   в целях координации действий по обеспечению безопасности персональных назначены ответственные лица.

6.             Ответственность

6.1.             В случае неисполнения обязательств, предусмотренных на стоящим Положением и действующим законодательством РФ Общество несет ответственность в соответствии с действующим законодательством РФ.

6.2.              Получить разъяснения по вопросам обработки персональных данных, а также об их уточнении и отзыва согласия на обработку персональных данных можно лично, путем направления соответствующего подписанного субъектом письменного требования одним из следующих способов: 1) на юридический адрес Общества по Почте России ценным письмом с описью; 2) через личный кабинет на сайте Общества, где осуществлялась регистрация субъекта персональных данных. В случае направления запроса по почте, он должен содержать нотариально заверенную подпись субъекта ПДн или его законного представителя.

6.2.1. При направлении письменного требования субъекту персональных данных необходимо указать: ФИО; номер основного документа, дату выдачи и кем был выдан (при условии предоставления ранее данной информации Обществу); сведения, подтверждающие факт наличия юридических отношений с Обществом (например, реквизиты трудового договора, договора купли-продажи, счета на покупку товара и квитанции об его оплате и т.п.) или иные документы, подтверждающие факт передачи и обработки персональных данных субъекта.

7.             Заключительные положения

7.1.       Настоящее Положение является общедоступным документом и размещено, в том числе на сайте https://dekotex.ru/include/polozhenie.php 

7.2.             Пересмотр положений настоящего Положения проводится в следующих случаях:

7.2.1.       при изменении законодательства РФ в области обработки и защиты персональных данных;

7.2.2.       при изменении целей обработки персональных данных, структуры информационных и/или телекоммуникационных система (или введение новых);

7.2.3.       при применении новых технологий обработки персональных данных (в т.ч. передачи и хранения);

7.2.4.       при появлении необходимости в изменении процесса обработки персональных данных, связанной с деятельностью Общества;

7.2.5.       по результату контроля выполнения требований об обработки и защите персональных данных;

7.2.6.       по решению руководства Общества.

7.3.       После пересмотра положений настоящего Положение, его действующая редакция публикуется также на сайте https://dekotex.ru/include/polozhenie.php и доводится до сведения работников Общества под роспись.