Политика в отношении обработки персональных данных

                       УТВЕРЖДЕНО

Генеральный директор ООО «Клеона»

                                                                                  «19» марта 2020 года

1.  Общие положения

1.1.  Политика в отношении обработки персональных данных в ООО «Клеона» (далее – Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в  ООО «Клеона» персональных данных, функции ООО «Клеона» при обработке персональных данных, права субъектов персональных данных, а также реализуемые в ООО «Клеона»  требования к защите персональных данных.

1.2.  Положение разработано с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.

1.3.  Положение разработано с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных.

1.4.  Положение служит основой для разработки локальных нормативных актов, регламентирующих в ООО «Клеона» вопросы обработки персональных данных работников ООО «Клеона»» и других субъектов персональных данных.

1.5.  Основные понятия:

  • персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • информация – сведения (сообщения, данные) независимо от формы их представления;
  • оператор – организация (ООО «Клеона»), самостоятельно или совместно с другими лицами организующая и (или) осуществляющая обработку персональных данных, а также определяющая цели обработки персональных данных, состав персональных данных, подлежащих обработке,  действия  (операции), совершаемые с персональными данными;
  • обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
  • предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных);
  • уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.6.  Права и обязанности субъекта персональных данных.

1.6.1.  Субъекты персональных данных имеют право:

  • на полную информацию об их персональных данных, обрабатываемых Оператором;
  • на доступ к их персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом;
  • на уточнение их персональных данных, их блокирование или уничтожение в случаях, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; 
  • на отзыв согласия на обработку персональных данных; 
  • на принятие предусмотренных законом мер по защите своих прав;
  • на осуществление иных прав, предусмотренных законодательством РФ.

1.6.2.  Субъекты персональных данных обязаны:

  • предоставлять Оператору только достоверные данные о себе;
  • предоставлять документы, содержащие персональные данные в объеме, необходимом для цели обработки;
  • сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.

1.7.  Основные права и обязанности Оператора.

1.7.1.  Оператор имеет право:

  • получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
  • требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных.

1.7.2.  Оператор обязан:

  • обрабатывать персональные данные в порядке, установленном действующим законодательством РФ;
  • рассматривать обращения субъекта персональных данных (его законного представителя) по вопросам обработки персональных данных и давать мотивированные ответы;
  • предоставлять субъекту персональных данных (его законному представителю) возможность безвозмездного доступа к его персональным данным;
  • принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (его законного представителя) обращением с законными и обоснованными требованиями;
  • организовывать защиту персональных данных в соответствии с требованиями законодательства РФ.

2.  Цели сбора персональных данных

Персональные данные обрабатываются Оператором в следующих целях:

2.1.  Заключение с субъектами персональных данных любых договоров и их дальнейшего исполнения.

2.2.  Подготовка, заключение, исполнение и прекращение договоров с контрагентами.

2.3.  Прием предложений о партнерстве и дальнейших переговоров.

2.4.  Предоставление субъекту персональных данных информации об оказываемых Оператором услугах, информирование о разработке новых продуктов и услуг, в том числе рекламного характера.

2.5.  Ведение кадровой работы и организации учета работников ООО «Клеона», регулирование трудовых и иных, непосредственно связанных с ними отношений.

2.6.  Привлечение и отбор кандидатов на работу в ООО «Клеона».

2.7.  Ведение и формирование бухгалтерского, налогового учета, статистической отчетности.

2.8.  Осуществление хозяйственной деятельности.

2.9.  Для клиентов интернет-магазина ООО «Клеона»:

  • идентификация клиента, зарегистрированного на Сайте интернет-магазина, для оформления заказа и (или) заключения Договора купли-продажи товара дистанционным способом с ООО «Клеона»;
  • предоставление клиенту доступа к персонализированным ресурсам Сайта интернет-магазина;
  • установление с клиентом обратной связи, включая направление уведомлений, запросов, касающихся использования Сайта интернет-магазина, оказания услуг, обработка запросов и заявок от Пользователя;
  • определение места нахождения клиента для обеспечения безопасности, предотвращения мошенничества;
  • уведомление клиента Сайта интернет-магазина о состоянии Заказа;
  • обработка и получение платежей, подтверждения налога или налоговых льгот, оспаривание платежа;
  • предоставление клиенту эффективной клиентской и технической поддержки при возникновении проблем связанных с использованием Сайта интернет-магазина;
  • предоставление клиенту с его согласия, обновлений продукции, специальных предложений, информации о ценах, новостной рассылки и иных сведений от имени интернет-магазина или от имени партнеров интернет-магазина;
  • осуществление рекламной деятельности с согласия клиента.

2.10.  Осуществление иных функций, полномочий и обязанностей, возложенных на Оператора законодательством РФ.

3.  Правовые основания обработки персональных данных

3.1.  Обработка персональных данных осуществляется на основе следующих федеральных законов и нормативно-правовых актов:

  • Конституция РФ;
  • Трудовой кодекс РФ;
  • Гражданский кодекс РФ;
  • Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
  • Закон РФ от 27 декабря 1991 г. N 2124-1 "О средствах массовой информации";
  • Федеральный закон от 26 декабря 2008 г. N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля";
  • Указ Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера";
  • Постановление Правительства Российской Федерации от 06 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных";
  • Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
  • Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
  • Приказ Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных";
  • Приказ ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
  • уставные документы Оператора;
  • договоры, заключаемые между Оператором и субъектами персональных данных;
  • согласия субъектов персональных данных на обработку персональных данных;
  • иные основания, когда согласие на обработку персональных данных не требуется в силу закона.

     4.  Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

4.1.  Оператор осуществляет обработку персональных данных следующих категорий субъектов персональных данных.

4.1.1.  Работники Компании, бывшие работники, кандидаты для приема на работу, а также родственники работников с согласия субъектов персональных данных, в составе и сроки, необходимые для соблюдения трудового, налогового и пенсионного законодательства Российской Федерации, а именно:

  • содействие работникам в трудоустройстве, обучении и продвижении по службе;
  • расчет и начисление заработной платы;
  • организация деловых поездок (командировок) работников;
  • оформление доверенностей (в том числе для представления интересов организации перед третьими лицами);
  • обеспечение личной безопасности работников;
  • контроль количества и качества выполняемой работы;
  • обеспечение сохранности имущества;
  • соблюдение пропускного режима в помещениях организации;
  • учет рабочего времени;
  • пользование различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, а также Уставом и нормативными актами организации;
  • добровольное страхование жизни, здоровья и/или от несчастных случаев.

4.1.2.  Клиенты и контрагенты Компании (физические лица):

  • заключение и исполнение договора гражданско-правового характера на оказание услуг и (или) поставку товаров;
  • рассмотрение возможностей дальнейшего сотрудничества;
  • предоставление информации по услугам;
  • анализа качества предоставляемых организацией услуг и улучшения качества продукции;
  • информирование о статусе заявки на поставку товара, предоставления услуги;
  • исполнение договора, в т.ч. договора купли-продажи;
  • предоставление прочих услуг, а также учет оказанных услуг для осуществления взаиморасчетов.

4.1.3.  Клиенты Сайта (Сайтов): 

  • регистрация на Сайте и предоставление доступа к его содержанию;
  • отправка сообщений в случае подписки на рассылку сообщений от Оператора;
  • подготовка, заключение, исполнение договоров купли-продажи;
  • продвижение товаров Оператора на рынке путем осуществления прямых контактов с потенциальными покупателями с помощью средств связи.

4.1.4.  Представители/работники клиентов и контрагентов Оператора (юридических лиц):

  • ведение переговоров, заключение и исполнение договоров, по которым предоставляются данные работников такого юридического лица для целей исполнения договора по различным направлениям хозяйственной деятельности организации.

4.2.  Оператор обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.

4.3.  Обработка биометрических персональных данных Оператором не осуществляется.

4.4.  Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.

4.5.  Трансграничная передача персональных данных Оператором не осуществляется.

4.6.  Состав персональных данных каждой из перечисленных в п. 4.1 настоящего Положения категории субъектов определяется согласно нормативным документам, перечисленным в разделе 3 настоящей Политики.

 5.  Порядок и условия обработки персональных данных

5.1.  В ООО «Клеона» организована система конфиденциального делопроизводства. Система обеспечивает создание, движение и хранение документов по личному составу и иных документов, содержащих персональные данные, таким образом, чтобы исключить несанкционированное использование этих сведений.

5.2.  Доступ к персональным данным имеют только те специалисты, кому это необходимо для исполнения должностных обязанностей. Сотрудники, получающие доступ к персональным данным, назначаются приказом генерального директора. Они дают отдельное письменное обязательство о неразглашении персональных данных.

5.3.  Обработка персональных данных в ООО «Клеона» осуществляется следующими способами:

  • неавтоматизированная обработка персональных данных;
  • автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
  • смешанная обработка персональных данных.

5.4.  Сроки обработки (хранения) данных.

5.4.1.  Сроки обработки (хранения) данных определяются исходя из целей обработки данных, в соответствии со сроком действия договора с субъектом данных, требованиями федеральных законов, требованиями операторов Данных, по поручению которых организация осуществляет обработку данных, основными правилами работы архивов организаций, сроками исковой давности.

5.4.2.  Хранение персональных данных в форме, позволяющей определить Субъект персональных данных не дольше, чем того требуют цели их обработки, если срок хранения персональных данных не установлен законодательство РФ.

5.4.3.  Условием прекращения обработки (хранения) персональных данных является достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

5.5.  Принципы и условия обработки данных.

5.5.1.  При обработке данных ООО «Клеона» придерживается следующих принципов:

  • обработка данных осуществляется на законной и справедливой основе;
  • данные не раскрываются третьим лицам и не распространяются без согласия субъекта данных, за исключением случаев, требующих раскрытия данных по запросу уполномоченных государственных органов, судопроизводства;
  • определение конкретных законных целей до начала обработки (в т.ч. сбора) данных;
  • ведется сбор только тех данных, которые являются необходимыми и достаточными для заявленной цели обработки;
  • объединение баз данных, содержащих данные, обработка которых осуществляется в целях, несовместимых между собой не допускается;
  • обработка данных ограничивается достижением конкретных, заранее определенных и законных целей;
  • обрабатываемые данные подлежат уничтожению или обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5.5.2.  Организация может осуществлять обработку данных о состоянии здоровья субъекта данных в соответствии с трудовым законодательством, законодательством о государственной социальной помощи.

5.5.3.  В случаях, установленных законодательством Российской Федерации, организация вправе осуществлять передачу данных третьим лицам (федеральной налоговой службе, государственному пенсионному фонду и иным государственным органам) в случаях, предусмотренных законодательством Российской Федерации.

5.5.4.  Лица, осуществляющие обработку данных на основании заключаемого с организацией договора (поручения оператора), обязуются соблюдать принципы и правила обработки и защиты данных, предусмотренные законом. Для каждого третьего лица в договоре определяются перечень действий (операций) с данными, которые будут совершаться третьим лицом, осуществляющим обработку данных, цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность данных при их обработке, указываются требования к защите обрабатываемых данных в соответствии с законом.

5.5.5.  В целях исполнения требований действующего законодательства Российской Федерации и своих договорных обязательств обработка данных в организации осуществляется как с использованием, так и без использования средств автоматизации. Совокупность операций обработки включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных.

5.5.6.  Особенности обработки и защиты данных, собираемых организацией
с использованием сети Интернет.

5.5.6.1.  Организация обрабатывает и защищает данные, поступающие от пользователей Сайта, в том числе данные кандидатов на вакантные должности.

5.5.6.2.  Сбор и предоставление данных.

Предоставление данных (включая фамилию, имя, должность, место работы, должность, контактный телефон, адрес электронной почты, адрес и др.) субъектами данных путем заполнения соответствующих форм на Сайте и посредством направления электронных писем на корпоративные адреса организации.

5.5.6.3.  Использование данных.

Организация вправе пользоваться предоставленными данными в соответствии с заявленными целями их сбора при наличии согласия субъекта данных, если такое согласие требуется в соответствии с требованиями законодательства Российской Федерации в области персональных данных.

6.  Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

6.1.  В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации оператором, а обработка должна быть прекращена.

6.2.  При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

  • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или иными федеральными законами;
  • иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.

6.3.  Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего. 

6.4.  Право субъекта персональных данных на доступ к его персональным данным.

6.4.1.  Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.4.2.  Сведения предоставляются субъекту данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя.

6.4.2.1.  Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.

6.4.2.2.  Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

6.4.3.  Оператор вправе отказать субъекту данных в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.

6.4.4.  Субъект данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые оператором способы обработки персональных данных;
  • наименование и место нахождения оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом данных прав, предусмотренных Федеральным законом "О персональных данных";
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.

6.4.5.  Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона "О персональных данных" или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в орган, уполномоченный по вопросам защиты прав субъектов персональных данных, или в судебном порядке.

6.4.6.  Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

7. Меры по обеспечению защиты персональных данных 

7.1.  Оператор не вправе обрабатывать персональные данные субъекта персональных данных без его письменного согласия, за исключением случаев, приведенных в п. 2 ст. 6 Федерального закона №152-ФЗ «О персональных данных». Письменное согласие может быть составлено в виде отдельного документа или быть внедрено в структуру иного документа, подписываемого субъектом персональных данных.

7.2.  Оператор предпринимает необходимые организационные и технические меры по защите персональных данных. Принимаемые меры основаны на требованиях ст. 18.1, ст.19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», иных нормативных актов в сфере персональных данных, в том числе:

  • назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных;
  • контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки и обеспечение безопасности персональных данных Оператора;
  • ответственность должностных лиц Оператора, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Оператора;
  • лица, ведущие обработку персональных данных, проинструктированы и ознакомлены с нормативными правовыми актами, регламентирующими порядок работы и защиты персональных данных;
  • разграничены права доступа к обрабатываемым персональным данным;
  • обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
  • в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям проводятся периодические проверки условий обработки персональных данных.

Помимо вышеуказанных мер, осуществляются меры технического характера, направленные на:

  • предотвращение несанкционированного доступа к системам, в которых хранятся персональные данные;
  • резервирование и восстановление персональных данных, работоспособность технических средств и программного обеспечения, средств защиты информации в информационных системах персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • иные необходимые меры безопасности. 

8.  Заключительные положения

 8.1.  Настоящая Политика является локальным нормативным актом организации. Настоящая Политика является общедоступной. Общедоступность настоящей Политики обеспечивается публикацией на Сайте ООО «Клеона».

8.2.  Настоящая Политика может быть пересмотрена в любом из следующих случаев:

  • при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;
  • в случаях получения предписаний от компетентных государственных органов на устранение несоответствий, затрагивающих область действия Положения;
  • по решению руководства организации;
  • при изменении целей и сроков обработки данных;
  • при   изменении организационной структуры, структуры  информационных и/или телекоммуникационных систем (или введении новых);
  • при применении новых технологий обработки и защиты данных (в т. ч. передачи, хранения);
  • при появлении необходимости в изменении процесса обработки данных, связанной с деятельностью организации.

8.3.  В случае неисполнения положений настоящей Политики организация и ее работники несут ответственность в соответствии с действующим законодательством Российской Федерации.

8.4.  Контроль исполнения требований настоящей Политики осуществляется лицами, ответственными за организацию обработки данных организации, а также за безопасность персональных данных.