ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ АО «Р-Гарнет»
1. Общие положения
1.1. Настоящий документ определяет политику (далее – Политика) Закрытого акционерного общества «Р-Гарнет» (далее – Оператор, Общество) в отношении обработки персональных данных.
1.2. Политика разработана и утверждена в соответствии с требованиями статьи 18.1 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных»), а также иными нормативными правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных, обрабатываемых Оператором.
1.3. Целью Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, а также интересов Оператора.
1.4. Политика определяет цели, принципы, порядок и условия обработки персональных данных физических лиц, чьи персональные данные обрабатываются Оператором, а также включает перечень мер, применяемых в целях обеспечения безопасности персональных данных при их обработке.
1.5. Политика является общедоступным документом и размещена на сайте Оператора в сети Интернет по адресу: https://r-garnet.ru/.
1.6. Оператор вправе вносить изменения в Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления.
1.7. Действие Политики распространяется на обработку персональных данных, полученных как до, так и после утверждения настоящей Политики.
2. Основные понятия, используемые в настоящей Политике
Персональные данные – любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является закрытое акционерное общество «Р-Гарнет», ОГРН 1057810298798, расположенное по адресу: Россия, 193230, г. Санкт-Петербург, пер. Челиева, д. 13, лит. Т, к. 3.
Сайт Интернет-магазина - сайт Интернет-магазина Оператора в сети Интернет по адресу: https://r-garnet.ru/.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с Федеральным законодательством не распространяется требование соблюдения конфиденциальности.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Конфиденциальность персональных данных - обязательное для выполнения оператором и иными лицами, получившими доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством.
Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных.
3. Права и обязанности субъекта персональных данных и Оператора
3.1. Субъект персональных данных имеет право:
3.1.1. На безвозмездное ознакомление со своими персональными данными, за исключением случаев, предусмотренных Федеральным законом «О персональных данных»;
3.1.2. На получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных Обществом;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые Обществом способы обработки персональных данных;
4) наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании Федерального закона «О персональных данных»;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом «О персональных данных»;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные законодательством Российской Федерации.
3.1.3. Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
3.1.4. Требовать извещения Оператором всех лиц, которым в рамках действующего законодательства РФ ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
3.1.5. Отозвать свое согласие на обработку своих персональных данных;
3.1.6. Требовать устранения неправомерных действий Оператора в отношении его персональных данных;
3.1.7. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Оператора при обработке его персональных данных;
3.1.8. На защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
3.2. Субъекты, персональные данные которых обрабатываются Оператором, обязаны:
3.2.1. Сообщать достоверную информацию о себе и предоставлять документы, содержащие персональные данные, состав которых установлен законодательством Российской Федерации и локальными нормативными документами Общества в объеме, необходимом для цели обработки;
3.2.2. сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.
3.3. Оператор обязан:
3.3.1. Предоставлять субъекту персональных данных (законному представителю субъекта персональных данных) возможность безвозмездного доступа к своим персональным данным, обрабатываемым Оператором;
3.3.2. Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
3.3.3. Рассматривать обращения субъекта персональных данных (законного представителя субъекта персональных данных, уполномоченного органа по защите прав субъектов персональных данных) по вопросу обработки его персональных данных и давать мотивированные ответы в срок, не превышающий 7 (семи) рабочих дней с даты поступления обращения (запроса);
3.3.4. Принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (законного представителя) обращением с законными и обоснованными требованиями;
3.3.5. Организовывать оперативное и архивное хранение документов, содержащих персональные данные субъектов персональных данных, в соответствии с требованиями законодательства Российской Федерации.
3.3.6. Вести журнал учета обращений субъектов персональных данных, в котором должны фиксироваться запросы субъектов на получение персональных данных, а также факты предоставления данных по этим запросам.
4. Цели сбора персональных данных
4.1. Оператор осуществляет обработку персональных данных в следующих целях:
4.1.1. для подготовки, заключения и исполнения гражданско-правового договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
4.1.2. для связи с пользователем, в связи с заполнением формы обратной связи на сайте, в том числе направление уведомлений, запросов и информации, касающихся использования сайта Интернет-магазина, обработки, согласования заказов и их доставки, исполнения соглашений и договоров;
4.1.3. регулирование трудовых отношений и иных непосредственно связанных с ними отношений, выполнение требований трудового законодательства Российской Федерации, поиск соискателей, ведение бухгалтерского, кадрового и воинского учета.
5. Правовые основания обработки персональных данных
5.1. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, а именно:
- Конституция Российской Федерации от 12.12.1993 г.;
- Трудовой кодекс Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 26.12.1995 № 208-ФЗ «Об акционерных обществах»;
- Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти;
- Устав Общества;
- Положение об обработке и защите персональных данных работников Общества;
- локальные нормативные акты Общества;
- согласие на обработку персональных данных условия которого подтверждаются субъектом персональных данных при работе с формой обратной связи на сайте Оператора;
- договоры, заключаемые между Оператором и субъектом персональных данных.
6. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
6.1. Категории субъектов персональных данных.
Обрабатываются персональные данные следующих субъектов персональных данных:
– физические лица, состоящие с Обществом в гражданско-правовых отношениях, в том числе физические лица, являющиеся покупателями и клиентами Общества;
– физические лица, являющиеся Пользователями сайта Интернет-магазина;
– физические лица, являющиеся работниками Оператора, бывшими работниками, кандидатами на замещение вакантных должностей, а также родственниками работников.
6.2. Объем персональных данных, обрабатываемых Оператором:
6.2.1. Оператор осуществляет обработку персональных данных физических лиц, состоящих с Обществом в гражданско-правовых отношениях, в том числе физических лиц, являющихся покупателями и клиентами Общества в следующем объеме:
- фамилия, имя, отчество;
- пол;
- паспортные данные;
- адрес регистрации по месту жительства;
- номер телефона (домашний, мобильный);
- адрес электронной почты.
6.2.2. Оператор осуществляет обработку персональных данных физических лиц, являющихся Пользователями сайта Интернет-магазина в следующем объеме:
- фамилия, имя, отчество;
- пол;
- номер телефона (домашний, мобильный).
- адрес электронной почты.
6.2.3. Оператор осуществляет обработку персональных данных физических лиц, являющихся работниками Оператора, бывшими работниками, а также родственниками работников в следующем объеме:
- фамилия, имя, отчество;
- пол;
- дата и место рождения;
- паспортные данные;
- адрес регистрации по месту жительства и адрес фактического проживания;
- номер телефона (домашний, мобильный);
- сведения об образовании, квалификации, наличии специальных знаний и подготовки, о повышении квалификации;
- сведения о трудовом и общем стаже;
- сведения о предыдущем месте работы, доходах с предыдущих мест работы;
- сведения о составе семьи;
- семейное положение,
- сведения о воинском учете;
- сведения о заработной плате;
- сведения о социальных льготах;
- специальность;
- занимаемая должность;
- размер заработной платы;
- наличие судимостей;
- содержание трудового договора;
- информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности
- результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
- фотографии;
- сведения о деловых и иных личных качествах, носящих оценочный характер;
- СНИЛС;
- ИНН;
- адрес электронной почты.
6.2.4. Оператор осуществляет обработку персональных данных физических лиц, являющихся кандидатами на замещение вакантных должностей, в следующем объеме:
- фамилия, имя, отчество;
- пол;
- дата и место рождения;
- паспортные данные;
- адрес регистрации по месту жительства и адрес фактического проживания;
- номер телефона (домашний, мобильный);
- сведения об образовании, квалификации, наличии специальных знаний и подготовки, о повышении квалификации;
- сведения о трудовом и общем стаже;
- сведения о составе семьи;
- семейное положение,
- сведения о воинском учете;
- сведения о социальных льготах;
- наличие судимостей;
- фотографии;
- сведения о деловых и иных личных качествах, носящих оценочный характер;
- адрес электронной почты.
6.3. Оператор не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
6.4. Оператор не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
7. Порядок и условия обработки персональных данных
7.1. Обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством Российской Федерации.
7.2. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных, перечне действий с персональными данными, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.
7.3. Обработка персональных данных может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).
7.4. К обработке персональных данных допускаются только те работники Оператора, в должностные обязанности которых входит обработка персональных данных. Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.
7.5. Передача персональных данных третьим лицам допускается с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации.
7.6. При передаче персональных данных третьим лицам в соответствии с заключенными договорами Оператор обеспечивает обязательное выполнение требований законодательства Российской Федерации в области персональных данных.
Передача персональных данных в уполномоченные органы и организации (органы Министерства внутренних дел Российской Федерации, Федеральная налоговую службу, Пенсионный фонд Российской Федерации, территориальный фонд обязательного медицинского страхования Российской Федерации, страховые медицинские организации по обязательному и добровольному медицинскому страхованию, банки и другие) осуществляется в соответствии с требованиями законодательства Российской Федерации.
7.7. Оператор вправе поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъектов персональных данных на основании заключаемого договора. Юридическое лицо или индивидуальный предприниматель, осуществляющие обработку персональных данных по поручению Оператора, обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации в области персональных данных.
В случае, когда Оператор на основании договора передает или поручает обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю, существенным условием договора должна быть обязанность обеспечения указанным лицом условий конфиденциальности и обеспечения безопасности персональных данных при их передаче или обработке.
7.8. Обработка персональных данных прекращается при достижении целей такой обработки, по истечении срока, предусмотренного законом, договором, или согласием субъекта персональных данных на обработку его персональных данных, а также при выявлении неправомерной обработки персональных данных.
7.9. Обработка персональных данных осуществляется с соблюдением конфиденциальности, под которой понимается обязанность не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
7.10. Оператор обеспечивает конфиденциальность персональных данных Субъекта персональных данных со своей стороны, со стороны своих работников, имеющих доступ к персональным данным физических лиц, а также обеспечивает использование персональных данных вышеуказанными лицами исключительно в целях, соответствующих закону, договору или иному соглашению, заключенному с субъектом персональных данных.
7.11. Хранение персональных данных:
7.11.1 Хранение персональных данных осуществляется Оператором в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки.
7.11.2. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
7.11.3. Хранение документов, содержащих персональные данные субъектов, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению.
7.11.4. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
7.11.5. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
Не допускается хранение и размещение документов, содержащих персональных данных, в открытых электронных каталогах (файлообменниках) в ИСПД.
7.11.6. Персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа.
8. Сведения о реализуемых требованиях к защите персональных данных
8.1. Обеспечение безопасности персональных данных при их обработке Оператором осуществляется в соответствии с законодательством Российской Федерации.
8.2. Оператор предпринимает необходимые организационные и технические меры для защиты персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
8.3. Меры защиты, реализуемые Оператором при обработке персональных данных, включают:
- принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;
- назначение должностных лиц, ответственных за обеспечение безопасности персональных данных в подразделениях и информационных системах Оператора;
- организацию обучения и проведение методической работы с работниками, осуществляющими обработку персональных данных;
- создание необходимых условий для работы с материальными носителями и информационными системами, в которых обрабатываются персональные данные;
- организацию учета материальных носителей персональных данных и информационных систем, в которых обрабатываются персональные данные;
- хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
- обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации;
- обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях;
- установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям и сети Интернет без применения установленных Оператором мер по обеспечению безопасности персональных данных;
- обеспечение защиты документов, содержащих персональные данные, на бумажных и иных материальных носителях при их передаче третьим лицам с использованием услуг почтовой связи;
- осуществление внутреннего контроля за соблюдением законодательства Российской Федерации и локальных нормативных актов при обработке персональных данных.
8.4. Ответственность за нарушение требований законодательства Российской Федерации в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.
9. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
9.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат их актуализации Оператором, а обработка должна быть прекращена, соответственно.
9.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
- иное не предусмотрено иным соглашением между Оператором и субъектом персональных данных.
9.3. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор вносит в них необходимые изменения.
9.4. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор уничтожает такие персональные данные.
9.5. Оператор уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
9.6. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
9.7. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.
В случае отсутствия возможности уничтожения персональных данных в течение вышеуказанного срока Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в части 2 статьи 9 Федерального закона "О персональных данных"
9.8. Сведения, указанные в части 7 статьи 14 Федерального закона «О персональных данных», предоставляются субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя.
Сведения предоставляются в доступной форме, в них не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Федерального закона «О персональных данных» все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Запрос должен содержать данные основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись (в том числе электронная) субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона «О персональных данных» в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.