Политика конфиденциальности

Главная / Политика конфиденциальности

УТВЕРЖДЕНО

Решением

Общего собрания участников

ООО «Ритейл Сервис»

(протокол от 11.01.2017 г.)

 

Политика ООО «Ритейл Сервис»

в отношении обработки персональных данных

1. Общие положения

1.1. Настоящий документ (далее по тексту – «Политика») определяет политику в отношении обработки персональных данных в ООО «Ритейл Сервис» (далее по тексту – «Оператор»), включая цели, принципы обработки персональных данных (далее по тексту – «ПДн»), а также содержит сведения о передаче ПДн взаимодействующим с Оператором лицам и о реализуемых требованиях к защите ПДн, других аспектах обработки и защиты ПДн у Оператора.

1.2. Положения настоящей Политики разработаны согласно требованиям Федерального закона №152-ФЗ от 27 июля 2006 г. «О персональных данных» (далее по тексту – «Федеральный закон №152-ФЗ»), действующего законодательства Российской Федерации в области ПДн, внутренних документов Оператора.

1.3. В тексте настоящей Политики используются термины и понятия, применяемые в действующем законодательстве Российской Федерации в области ПДн, включая применяемые в тексте Федерального закона №152-ФЗ, в том числе:

персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.4. Получение и обработка ПДн Оператором осуществляются в целях сотрудничества в преддоговорных, вытекающих из договоров и постдоговорных отношениях, выполнения требований действующего законодательства, осуществления уставной деятельности Оператора, в том числе:

предоставления заказчикам, состоящим с Оператором в договорных отношениях, услуг по подбору, обучению, оценке персонала, аудиту качества обслуживания клиентов;

трудоустройства соискателей вакансий, обратившихся к Оператору с этой целью;

деятельности в рамках трудовых отношений с работниками самого Оператора.

Обработка Оператором ПДн может осуществляться по поручению третьих лиц – других операторов ПДн, при этом Оператор не является оператором ПДн.

1.5. Обработка ПДн в Операторе основана на принципах законности, обеспечения защиты прав и свобод человека и гражданина, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.6. Текст настоящей Политики является общедоступным и размещается Оператором на официальном информационном ресурсе (сайте) Оператора в информационно-телекоммуникационной сети Интернет, а также на информационных стендах Оператора в помещениях обслуживания клиентов.

2. Действия, осуществляемые с персональными данными

2.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение ПДн.

2.2. Обработка ПДн Оператором осуществляется как с использованием, так и без использования средств автоматизации.

2.3. Обработка ПДн Оператором, в том числе их хранение, осуществляется в течение сроков, установленных действующим законодательством, включая случаи обработки ПДн в течение сроков, установленных в согласии субъекта ПДн на обработку его ПДн Оператором.

2.4. Обработка персональных данных осуществляется путем смешанной обработки:

— персональные данные работников доступны лишь для строго определенных категорий работников Оператора;

— персональные данные соискателей вакансий передаются с использованием информационно-телекоммуникационной сети Интернет в организации,  указанные в согласии на обработку персональных данных;

— персональные данные заказчиков доступны лишь для строго определенных категорий работников Оператора.

3. Принципы обработки персональных данных

3.1. Обработка ПДн Оператором осуществляется в соответствии с требованиями действующего законодательства и ограничивается достижением конкретных, заранее определенных и законных целей.

3.2. Обработке Оператором подлежат только те ПДн, которые отвечают законным, конкретным, заранее определенным целям их обработки. В Операторе не допускается избыточность обработки ПДн.

3.3. При обработке ПДн обеспечиваются точность ПДн, достаточность и актуальность ПДн по отношению к целям их обработки.

3.4. Обработка ПДн в Операторе производится только в случаях, предусмотренных действующим законодательством Российской Федерации.

3.5. Обработка ПДн может производиться при наличии согласия субъекта ПДн на обработку его ПДн Оператором (далее по тексту – Согласие), в случаях, указанных в Федеральном законе №152-ФЗ. Субъект ПДн принимает решение о предоставлении его ПДн Оператору и дает согласие на их обработку Оператором свободно, своей волей и в своем интересе. Согласие субъекта ПДн на обработку ПДн должно быть добровольным, конкретным, информированным и сознательным.

3.6. Согласие может быть дано субъектом ПДн или законным представителем субъекта ПДн в любой законной форме, позволяющей подтвердить факт получения указанного Согласия, если иное не установлено действующим законодательством.

Оператор осуществляет идентификацию личности субъекта ПДн и законного представителя субъекта ПДн, проверку полномочий указанного представителя в соответствии с положениями действующего законодательства.

3.7. Равнозначным Согласию, представленному в письменной форме на бумажном носителе и заверенному собственноручной подписью субъекта ПДн либо законного представителя субъекта ПДн, признается Согласие, представленное в форме электронного документа, подписанного в соответствии с требованиями Федерального закона от 06 апреля 2011 г. № 63-ФЗ «Об электронной подписи» Российской Федерации электронной подписью субъекта ПДн либо законного представителя субъекта ПДн.

3.8. Субъект ПДн, предоставляющий его ПДн Оператору, несет ответственность за точность, достоверность, полноту и актуальность предоставляемых ПДн в соответствии с действующим законодательством. Оператор имеет право осуществлять проверку точности, достоверности и актуальности ПДн в случаях, объеме и порядке, соответствующих требованиям действующего законодательства.

3.9. Субъект ПДн имеет право доступа к его ПДн, обрабатываемым в Операторе, на условиях и в порядке, предусмотренных действующим законодательством. Оператор предоставляет доступ субъекту ПДн к его ПДн в случаях и в порядке, установленных действующим законодательством. Оператор имеет право отказать субъекту ПДн в доступе к его ПДн только в случаях и в порядке, предусмотренных действующим законодательством.

3.10. Субъект ПДн вправе требовать от Оператора уточнения его ПДн, обрабатываемых в Операторе, их блокирования, разблокирования, уничтожения в предусмотренных действующим законодательством случаях и порядке, в том числе в тех случаях, когда указанные ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей их обработки, а также принимать законные меры по защите своих прав.

3.11. Оператор вправе требовать от субъекта обрабатываемых в Операторе ПДн уточнения указанных ПДн в предусмотренных действующим законодательством случаях и порядке, а также принимать законные меры по защите своих прав.

3.12. Согласие субъекта ПДн на обработку его ПДн может быть отозвано субъектом ПДн в установленном законном порядке. В случае отзыва субъектом ПДн согласия на обработку его ПДн Оператор прекращает обработку указанных ПДн в порядке, установленном действующим законодательством.

3.13. Оператор вправе осуществлять обработку ПДн без Cогласия субъекта ПДн при наличии оснований, предусмотренных действующим законодательством.

В случае, если обработка Оператором ПДн осуществляется по поручению третьих лиц – операторов ПДн, Оператор не является оператором ПДн и не обязан получать Согласия на обработку ПДн у субъектов ПДн при условии наличия данных согласий у третьих лиц и заключения между Оператором с третьими лицам соответствующего договора.

3.14. В случае отказа субъекта ПДн предоставить Оператору свои ПДн либо отзыва Согласия на обработку ПДн, предоставление которых по требованиям действующего законодательства является обязательным, Оператор обязан разъяснить субъекту ПДн юридические последствия отказа от предоставления ПДн либо отзыва Согласия.

3.15. В случае отказа субъекта ПДн предоставить Оператору его ПДн либо отзыва Согласия на обработку ПДн, обработка которых необходима для предоставления субъекту ПДн услуг на законном основании, Оператор имеет право в законном порядке отказать субъекту ПДн в предоставлении соответствующих услуг.

3.16. Оператор не раскрывает третьим лицам и не распространяет полученные ПДн, если иное не предусмотрено действующим законодательством. В частности, раскрытие Оператором полученных ПДн третьим лицам может осуществляться в случаях, когда возможность указанного раскрытия предусмотрена договорными отношениями с субъектом ПДн или Согласием субъекта ПДн.

3.17. ПДн, обрабатываемые Оператором, подлежат защите от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении указанных ПДн. Указанная защита обеспечивается Оператором в соответствии с требованиями действующего законодательства, внутренних документов Оператора. При необходимости к участию в обработке и/или защите ПДн Оператор в предусмотренных законом случаях и порядке может привлекать иных юридических и/или физических лиц с соблюдением требований действующего законодательства.

4. Передача персональных данных

4.1. В соответствии с действующим законодательством Оператор может предоставлять обрабатываемые Оператором ПДн органам исполнительной власти Российской Федерации, Пенсионному фонду Российской Федерации, негосударственным пенсионным фондам, судебным органам, другим взаимодействующим с Оператором юридическим и/или физическим лицам. Передача ПДн взаимодействующим с Оператором лицам может производиться только в предусмотренных действующим законодательством случаях и осуществляется в соответствии с требованиями действующего законодательства Российской Федерации и действующими международными договорами (соглашениями) Российской Федерации.

4.2. Оператор вправе передать часть действий, связанных с обработкой ПДн (с согласия субъекта ПДн, если иное не предусмотрено федеральным законом) третьим лицам, на основании заключаемого с этими лицами договора.

4.3. Лица, осуществляющие обработку персональных данных на основании заключаемого с Оператором договора, обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных». Для каждого третьего лица в договоре определяется перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, также указываются требования к защите обрабатываемых персональных данных.

4.4. Трансграничная передача ПДн на территорию иностранных государств органам власти иностранного государства, иным иностранным физическим или юридическим лицам Оператором не осуществляется.

5. Лица, осуществляющие обработку персональных данных

5.1. В Операторе назначаются лица, ответственные за организацию обработки ПДн и обеспечение безопасности ПДн.

5.2. К обрабатываемым в Операторе ПДн имеют доступ только те лица, которым такой доступ необходим для выполнения их должностных обязанностей и которые в законном порядке наделены соответствующими полномочиями и правами доступа к ПДн и средствам их обработки.

Доступ иных лиц к ПДн, обрабатываемым Оператором, может быть предоставлен исключительно в предусмотренных действующим законодательством случаях и в установленном законном порядке.

5.3. Лица, осуществляющие обработку ПДн в Операторе, несут ответственность за свои действия, осуществляемые в отношении указанных ПДн, в соответствии с действующими законодательством и положениями внутренних документов Оператора.

6. Реализация Оператором требований к защите персональных данных

6.1 Реализацию требований к защите ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн, Оператор осуществляет правовыми, организационными и техническими мерами, в соответствии с действующим законодательством, в том числе в соответствии с требованиями законов, подзаконных актов и нормативными требованиями уполномоченных регулирующих органов.

6.1.1. Правовые меры:

– обязательное включение в заключаемые Оператором с взаимодействующими лицами соглашения о передаче ПДн требований соблюдения конфиденциальности (включая обязательство неразглашения) ПДн и обеспечения безопасности ПДн при их обработке и передаче;

– документальное оформление требований к безопасности обрабатываемых ПДн.

6.1.2. Организационные меры:

– ознакомление работников Оператора с требованиями действующего законодательства и нормативными документами Оператора в области обработки и защиты ПДн;

– установление персональной ответственности работников Оператора за обеспечение защиты обрабатываемых ПДн;

– контроль выполнения структурными подразделениями, работниками Оператора требований действующего законодательства и внутренних документов Оператора по обработке и защите ПДн;

– классификация обрабатываемых ПДн в соответствии с положениями и требованиями действующего законодательства и внутренних документов Оператора;

– своевременное выявление угроз безопасности ПДн, разработка и утверждение моделей угроз безопасности ПДн в соответствии с требованиями действующего законодательства;

– учет машинных (электронных, компьютерных) носителей ПДн;

– организация контроля доступа в помещения и здания Оператора, меры по их охране в рабочее и нерабочее время;

– организация и реализация системы ограничения/разграничения доступа пользователей (обслуживающего персонала) к документам, информационным ресурсам и системам и машинным (электронным, компьютерным) носителям информации и связанным с их использованием работам;

– систематический анализ (мониторинг) безопасности ПДн, регулярные проверки и совершенствование системы их защиты;

— уничтожение ПДн по достижении установленных целей их обработки, истечении сроков их обработки, в иных предусмотренных законом случаях, осуществляемое в соответствии с требованиями действующего законодательства.

6.1.3. Технические меры:

– разрабатываются и принимаются Оператором в соответствии с требованиями действующего законодательства, включая требования соответствующих законов, подзаконных актов, нормативных требований и рекомендаций уполномоченных регулирующих органов. Сведения о конкретных применяемых технических мерах и средствах защиты ПДн являются конфиденциальной информацией и раскрываются Оператором только в случаях, объеме и порядке, предусмотренных действующим законодательством.

При необходимости Оператором применяются также иные законные меры и средства защиты ПДн.

7. Порядок получения субъектами ПДн разъяснений по вопросам
обработки персональных данных

7.1. Лица, чьи ПДн обрабатываются Оператором, могут получить разъяснения по вопросам обработки своих ПДн, обратившись лично к Оператору или направив соответствующий письменный запрос по адресу местонахождения Оператора:

603000, Нижний Новгород, ул.М.Горького, д.117, 12 этаж, офис 1203.

7.2. В случае направления официального запроса в Оператор в тексте запроса необходимо указать:

– фамилию, имя, отчество субъекта ПДн или его представителя;

– номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

– сведения, подтверждающие наличие у субъекта ПДн отношений с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;

– подпись субъекта ПДн (или его представителя). Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

8. Заключительные положения

7.1. Политика разрабатывается лицом, ответственным за организацию обработки персональных данных, и вводится в действие после утверждения решением общего собрания участников Оператора. Политика пересматривается и актуализируется по мере необходимости. Предложения и замечания для внесения изменений в Политику следует направлять по адресу ivleva@retail-service.ru.

7.2. В случае противоречия локальных нормативных актов Оператора настоящей Политике, в отношении таких противоречий действуют правила обработки персональных данных, установленные настоящей Политикой.