Правила обработки персональных данных
1. Сфера применения
1.1. Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных») и другими федеральными законами и нормативно-правовыми актами Российской Федерации.
1.2. Настоящая Политика определяет принципы, порядок и условия обработки персональных данных работников Общества с ограниченной ответственностью «Компания «Торг Сити» (далее – Компания) и иных лиц, чьи персональные данные обрабатываются Компанией, а также устанавливает ответственность должностных лиц Компании, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3. Настоящая Политика не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов, имеющих статус архивных документов в соответствии с действующим законодательством об архивном деле в Российской Федерации.
1.4. Если Компанией будет поручено обрабатывать персональные данные другому лицу, договор, заключенный с этим лицом должен содержать обязательства лица соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных», соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке.
1.5. Требования, изложенные в настоящей Политике, являются обязательными для выполнения всеми работниками Компании и иными лицами, имеющими договорные отношения с Компанией.
2. Определения
2.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.2. Оператор персональных данных (оператор) – Компания, самостоятельно или совместно с другими лицами организующая и (или) осуществляющая обработку персональных данных, а также определяющая цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
2.3. Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;
2.4. Специальные категории персональных данных — сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
2.5. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.6. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
2.7. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
2.8. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
2.9. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
2.10. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
2.11. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
2.12. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.13. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3. Цели обработки персональных данных
3.1. Компания осуществляет обработку персональных данных в следующих целях:
3.1.1. Подбора персонала;
3.1.2. Трудоустройства в Компанию;
3.1.3. Исполнения требований трудового законодательства, в том числе прохождения работы в Компании, обучения и должностного роста работников, формирования кадрового резерва, учета результатов исполнения работником своих должностных обязанностей, обеспечения работнику установленных законодательством Российской Федерации условий труда, гарантий и компенсаций;
3.1.4. Заключения и исполнения договоров добровольного медицинского страхования;
3.1.5. Исполнения требований налогового законодательства Российской Федерации в связи с исчислением и уплатой налога на доходы физических лиц, единого социального налога и др.;
3.1.6. Исполнения требований пенсионного законодательства Российской Федерации при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, и др.;
3.1.7. Ведения бухгалтерского и налогового учета, а также заполнения статистической документации согласно законодательству Российской Федерации;
3.1.8. Заключения, исполнения, прекращения гражданско-правовых договоров и иных вопросов, связанных с данными гражданско-правовыми договорами;
3.1.9. Биометрической идентификации работников магазинов при доступе в торговый зал, для фиксации начала и окончания рабочего времени;
3.1.10. Организации пропускного режима и обеспечения безопасности, связанной с физическим доступом субъектов персональных данных на территорию и/или в здания и помещения Компании;
3.1.11. Обеспечения получения, доставки, возврата и обмена товаров и услуг, приобретаемых покупателями;
3.1.12. Обеспечения исполнения договоров закупки, поставки и возврата товаров и услуг от поставщиков;
3.1.13. Обеспечения исполнения договоров аренды;
3.1.14. Проведения маркетинговых исследований;
3.1.15. Статистической обработки информации, при условии обязательного обезличивания обрабатываемых персональных данных; 3.1.16. Информирования субъектов персональных данных о товарах/услугах Компании;
3.1.17. Информирования субъектов персональных данных о рекламных акциях и программе лояльности Компании и участии субъектов персональных данных в них.
3.1.18. Улучшения взаимодействия с клиентами в интерне-магазине и мобильном приложении: идентификации, предложения специальных товаров и услуг (таргетирования), обеспечения функциональности и оптимизации работы интернет-магазина и мобильного приложения, взаимодействия со связанными внешними сервисами.
4. Правовые основания обработки персональных данных
Обработка Оператором персональных данных, в зависимости от целей обработки, осуществляется:
4.1. C согласия субъектов персональных данных на обработку их персональных данных;
4.2. В целях исполнения действующего законодательства Российской Федерации, постановлений Правительства Российской Федерации и иных нормативных правовых актов Российской Федерации;
4.3. В целях исполнения или заключения договора, стороной которого либо выгодоприобретателем или поручителем, по которому, является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
5. Способы и принципы обработки персональных данных
5.1. В Компании осуществляется смешанная обработка персональных данных. Под смешанной обработкой персональных данных понимается обработка персональных данных как с использованием автоматизированных средств, так и без применения средств автоматизации.
5.2. При автоматизированной обработке персональных данных применяется передача персональных данных по внутренней сети Компании и с использованием информационно-телекоммуникационной сети «Интернет».
5.3. Компания обеспечивает безопасность персональных данных при их обработке согласно требованиям законодательства Российской Федерации и иных локальных актов Компании по вопросам обработки персональных данных.
5.4. Персональные данные обрабатываются в Компании на основе следующих законодательно определенных принципов:
5.4.1. Обработка персональных данных осуществляется на законной и справедливой основе;
5.4.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
5.4.3. Обработка персональных данных, несовместимая с целями сбора персональных данных не осуществляется;
5.4.4. Объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой, не осуществляется;
5.4.5. Обрабатываются только персональные данные, отвечающие целям их обработки; 5.4.6. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки;
5.4.7. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
5.4.8. При обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях — и актуальность по отношению к целям обработки персональных данных.
5.4.9. Компанией принимаются необходимые меры (обеспечивается их принятие) по удалению или уточнению неполных, или неточных персональных данных;
5.4.10. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
5.4.11. Обрабатываемые персональные данные уничтожаются либо обезличиваются Компанией по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Компания обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение),извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
5.6. В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных Компания заключает договор-поручение на обработку персональных данных, в котором указаны цели осуществляемой передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.
6. Категории персональных данных
6.1. В Компании обрабатываются следующие категории персональных данных:
6.1.1. Персональные данные категории «иные», которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным персональным данным;
6.1.2. Обезличенные и/или общедоступные персональные данные.
6.1.3. Специальные категории персональных данных.
6.1.4. Биометрические персональные данные.
6.2. Биометрические персональные данные в Компании обрабатываются для идентификации работников и учета рабочего времени при условии отдельного согласия на обработку таких данных.
6.3. Специальные категории персональных данных обрабатываются в соответствии с трудовым законодательством Российской Федерации.
7. Категории субъектов персональных данных
7.1. В целях настоящего документа в качестве субъектов персональных данных, персональные данные которых могут обрабатываться в Компании с использованием средств автоматизации или без использования таковых, понимаются нижеперечисленные категории физических лиц, условно именуемые далее:
7.1.1. клиентами, в состав которых включаются:
- физические лица (покупатели) и их представители (лица, действующие по доверенности и др.), имеющие договорные отношения с Компанией;
- посетители интернет-магазина;
- пользователи мобильного приложения;
- участники программы лояльности.
7.1.2. контрагентами, в состав которых включаются:
- руководители, представители и работники юридических лиц, а также индивидуальные предприниматели и физические лица, имеющие договорные отношения с Компанией, в том числе находящиеся на преддоговорном этапе установления таких отношений.
7.1.3. работниками, в состав которых включаются:
- кандидаты на работу в Компании;
- персонал Компании (работники, имеющие трудовые отношения с Компанией);
- лица, имевшие ранее трудовые отношения с Компанией.
7.1.4. посетителями, в состав которых включаются:
- представители (должностные лица) органов власти, органов местного самоуправления, уполномоченных государственных регуляторов;
- представители общественных организаций, коммерческих и некоммерческих структур и иных объединений (в т.ч. — иностранных).
7.1.5. иные субъекты персональных данных, которые не вошли в вышеперечисленные категории и обработка персональных данных которых не противоречит законодательству РФ, в т.ч.:
- лица, остановленные охраной магазинов Компании, в связи с подозрением в воровстве товаров из магазинов либо в связи с иным нарушением общественного порядка на территории и/или в зданиях и помещениях Компании.
8. Сведения о реализуемых требованиях к защите персональных данных
8.1. Компания при обработке персональных данных обеспечивает принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий в отношении персональных данных.
8.2. Обеспечение безопасности персональных данных достигается, в частности:
8.2.1. Назначением ответственных за организацию обработки персональных данных и обеспечение безопасности персональных данных;
8.2.2. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
8.2.3. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных. Базовый набор применяемых мер:
- идентификация и аутентификация субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее — машинные носители персональных данных);
- регистрация событий безопасности;
- антивирусная защита;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности персональных данных;
- обеспечение целостности информационной системы и персональных данных;
- обеспечение доступности персональных данных;
- защита среды виртуализации;
- защита технических средств;
- защита информационной системы, ее средств, систем связи и передачи данных;
- выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее — инциденты), и реагирование на них;
- управление конфигурацией информационной системы и системы защиты персональных данных;
8.2.4. Организацией режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
8.2.5. Обеспечением сохранности носителей персональных данных, в том числе определения мест хранения материальных носителей (дела, папки, журналы, анкеты и т.д.);
8.2.6. Утверждением перечня лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
8.2.7. Применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
8.2.8. Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
8.2.9. Учетом машинных носителей персональных данных;
8.2.10. Обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
8.2.11. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8.2.12. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
8.2.13. Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
9. Лицо, ответственное за обработку персональных данных
9.1. В Компании распорядительным порядком (приказом) назначается лицо, ответственное за организацию обработки персональных данных (далее — Ответственный за организацию обработки персональных данных).
9.2. Ответственный за организацию обработки персональных данных обязан:
9.2.1. осуществлять внутренний контроль за соблюдением Компанией и ее работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
9.2.2. доводить до сведения работников Компании положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
9.2.3. организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и осуществлять контроль за приемом и обработкой таких обращений и запросов;
9.3. Ответственными за организацию выполнения требований настоящей Политики и иных локальных актов Компании по вопросам обработки персональных данных и их защите, а также за выполнение указанных требований в структурных / обособленных подразделениях Компании являются руководители таких подразделений.
9.4. Ответственными за выполнение требований настоящей Политики и иных локальных актов Компании по вопросам обработки персональных данных и их защите на своих рабочих местах в рамках, определенных соответствующими должностными инструкциями являются лица, осуществляющие обработку персональных данных в Компании согласно своим должностным (функциональным) обязанностям.
10. Работники, уполномоченные обрабатывать персональные данные
10.1. Работники, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами Компании, определяющими политику в отношении обработки персональных данных, Положением о защите персональных данных.
10.2. С работниками, непосредственно осуществляющими обработку персональных данных, а равно с работниками, в должностные обязанности которых не входит обработка персональных данных, но которые имеют возможность находиться в помещениях, где производится обработка персональных данных, оформлены обязательства о выполнении требований настоящей Политики, Положения о защите персональных данных, и иных локальных актов Компании по обработке, защите и неразглашении информации ограниченного доступа (в т. ч. персональных данных).
11. Сроки и процедура хранения персональных данных
11.1. Сроки хранения персональных данных определяются сроками достижения целей их обработки или исходя из видов документов, в которых содержатся персональные данные.
11.2. Компания обеспечивает безопасное хранение персональных данных, что означает, что ООО «Компания «Торг Сити» принимает меры по предотвращению физической утраты или повреждения данных, а также по ограничению доступа и раскрытия персональных данных.
11.3. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
11.4. При осуществлении хранения персональных данных Компания использует базы данных, находящиеся на территории Российской Федерации.
11.5. Биометрические персональные данные не хранятся вне информационных систем персональных данных.
12. Согласие субъекта персональных данных и отзыв согласия
12.1. Компания обрабатывает персональные данные субъекта персональных данных с обязательным получением согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено федеральным законодательством.
12.2. Персональные данные могут быть получены не от субъекта персональных данных при наличии согласия субъекта персональных данных на передачу его персональных данных в Компанию для обработки, если иной порядок получения персональных данных не предусмотрен Федеральным законом.
12.3. Согласие предоставляется субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законодательством, в том числе, но не ограничиваясь:
- согласие субъектов персональных данных может быть включено в текст типовых форм, применяемых в Компании;
- согласие субъекта персональных данных может быть оформлено отдельным документом;
- согласие может быть получено посредством проставления галочки или совершением конклюдентных действий в соответствующей веб-форме на сайте или в мобильном приложении.
12.4. Для обработки специальных категорий и биометрических персональных данных, если иное не предусмотрено федеральным законом, согласие субъекта персональных данных получается в письменной форме в виде отдельного документа;
12.5. Формы согласий субъектов персональных данных и порядок их получения конкретизирован в иных локальных актах Компании по вопросам обработки персональных данных.
12.6. Субъект персональных данных может отозвать свое согласие на обработку персональных данных. Формы и порядок отзыва согласий субъектов персональных данных конкретизирован в иных локальных актах Компании по вопросам обработки персональных данных.
12.7. В случае отзыва субъектом персональных данных своего согласия на обработку его персональных данных Компания вправе продолжить обработку персональных данных без согласия субъекта персональных данных только при наличии оснований, указанных в федеральном законодательстве.
13. Уточнение, блокирование и уничтожение персональных данных, запросы субъектов персональных данных
13.1. В случае выявления неточных, неполных и/или устаревших персональных данных или неправомерной обработки персональных данных осуществляется блокирование соответствующих персональных данных или обеспечивается их блокирование, если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании.
13.2. Одновременно с решением о блокировании персональных данных инициируется проведение проверки заблокированных персональных данных.
13.3. Процедура проведения проверки заблокированных персональных данных установлена в иных локальных актах Компании по вопросам обработки персональных данных.
13.4. Сроки проверки заблокированных персональных данных установлены в иных локальных актах Компании по вопросам обработки персональных данных, но в любом случае они не могут превышать законодательно установленных сроков, а при их отсутствии — 30 (тридцати) календарных дней.
13.5. Блокирование персональных данных осуществляется или обеспечивается, если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании, при условии, что блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
13.6. Если по результатам проверки неправомерность обработки персональных данных подтверждена и при условии, что обеспечение правомерности обработки персональных данных невозможно (например, невозможно получить согласие субъекта персональных данных), принимается решение об уничтожении персональных данных.
13.7. Если по результатам проверки неточность персональных данных подтверждена, то персональные данные подлежат уточнению, а в случае, когда невозможно обеспечить правомерность обработки уточненных персональных данных — персональные данные уничтожаются.
13.8. В случаях достижения цели обработки персональных данных, истечения срока обработки персональных данных, отзыва субъектом персональных данных своего согласия на обработку персональных данных, персональные данные уничтожаются.
13.9. В случае поступления запроса в установленном законом порядке от субъекта персональных данных или его представителя Компания обязана сообщить информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
13.10. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Компания обязана внести в них необходимые изменения.
13.11. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Компания обязана уничтожить такие персональные данные.
14. Нарушение политики и ответственность
14.1. Компания несет ответственность за соответствие обработки персональных данных действующему законодательству.
14.2. Все сотрудники Компании, уполномоченные обрабатывать ПДн несут ответственность за соблюдение настоящей Политики и иных локальных актов Компании по вопросам обработки персональных данных.
14.3. Любой сотрудник, которому стало известно о нарушении настоящей Политики или который подозревает о существовании такого нарушения, должен сообщить об этом в соответствии с принятым в Компании порядком.
14.4. По факту любых нарушений требований настоящей Политики будут проведены разбирательства в соответствии с существующими в Компании процедурами, по результатам которых могут быть применены меры дисциплинарной ответственности в соответствии с трудовым законодательством Российской Федерации.
14.5. В тех случаях, когда нарушений требований настоящей Политики явилось причиной нарушения положений законодательства Российской Федерации, Компания вправе обратиться в правоохранительные органы.
15. Порядок пересмотра документа
15.1. Пересмотр положений настоящей Политики проводится в следующих случаях:
- на регулярной основе, но не реже одного раза в 2 года;
- по результатам проверок уполномоченными государственными регуляторами и контролирующими органами исполнительной власти Российской Федерации, выявивших несоответствия требованиям по обработке и обеспечению безопасности обработки ПДн;
- при появлении новых требований к обработке и обеспечению безопасности обработки персональных данных со стороны российского законодательства и контролирующих органов исполнительной власти Российской Федерации, а также договорных и других обязательств;
- по результатам расследования инцидентов информационной безопасности, связанных с обработкой и обеспечением безопасности персональных данных.
15.2. Ответственным за пересмотр Политики и составление рекомендаций по актуализации является Ответственный за организацию обработки персональных данных в Компании.