Положение о защите и обработке персональных данных
1. Общие положения
1.1. Настоящее Положение регулирует порядок обработки и защиты персональных данных контрагентов, пользователей интернет-магазина https://exorise.store/., владельцем которого является Обществом с ограниченной ответственностью«ЭКЗОРАЙЗ» (далее – Общество).
1.2. Настоящее Положение разработано на основе и во исполнение Конституции РФ, Федерального закона «О персональных данных».
1.3. Настоящее Положение вступает в силу с момента его утверждения генеральным директором Общества, действует бессрочно до замены его новым локальным правовым актом аналогичного назначения и является обязательным для исполнения всеми работниками Общества.
1.4. Все изменения в настоящее Положение вносятся приказами генерального директора Общества.
1.5. Общее руководство и контроль за выполнением положений данного документа осуществляет генеральный директор Общества.
2. Основные понятия
2.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2.2. Субъекты персональных данных – клиенты, контрагенты Общества, пользователи интернет-магазина https://exorise.store/.
2.3. Оператор – Общество, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
2.4. Третья сторона – физические или юридические лица, которым Общество передает персональные данные субъектов персональных данных с целью обработки;
2.5. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
2.6. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
2.7. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
2.8. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
2.9. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
2.10. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
2.11. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
2.12. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
2.13. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3. Основные цели и задачи обработки персональных данных
3.1. Организация обрабатывает персональные данные в следующих целях:
- обеспечения прав и свобод субъектов персональных данных в том числе защиты прав на неприкосновенность частной жизни;
- соблюдения законов и иных нормативно-правовых актов;
- исполнения гражданско-правовых обязательств перед клиентами Общества, аккредитующими субъектов персональных данных;
- контроля количества и качества выполняемой работы;
- обеспечения защиты персональных данных, полученных от субъектов персональных данных от несанкционированного доступа, неправомерного их использования или утраты
- регламентация ответственности должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
3.2. Задачами обработки персональных данных являются:
- защита персональных данных субъектов персональных данных;
- создание и ведение документации в случаях, предусмотренных законодательством РФ.
4. Состав персональных данных
4.1. К персональным данным относится информация, необходимая Обществу в связи с выполнением своей непосредственной деятельности, гражданско-правовыми отношениями, касающаяся конкретного субъекта персональных данных и позволяющая идентифицировать его личность.
4.2. В соответствии с действующим законодательством Российской Федерации персональные данные делятся на следующие группы:
- Персональные данные общей категории;
- Персональные данные специальных категорий;
- Биометрические персональные данные.
4.3. К специальным категориям персональных данных относятся сведения, касающиеся расовой принадлежности, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
4.3.1. Воспрещается обработка этих категорий персональных данных без письменного согласия субъекта персональных данных и допускается без его согласия только в строго определенных случаях, предусмотренных действующим законодательством Российской Федерации.
4.3.2. Обществом не обрабатываются специальные категории персональных данных, касающихся расовой принадлежности, национальной принадлежности, политических взглядов, религиозных или философских убеждений.
4.4. Биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных) Обществом не обрабатываются.
4.5. Перечень персональных данных общей и специальной категорий, обрабатываемых в Организации, определяется Обществом самостоятельно по принципу их необходимости и достаточности по отношению к заявленным целям их обработки и утверждается генеральным директором Общества. В частности, могут обрабатываться следующие персональные данные:
4.5.1. Фамилия, имя, отчество;
4.5.2. Гражданство;
4.5.3. Вид, номер, серия, дата и место выдачи документа, удостоверяющего личность, а также наименование органа, выдавшего документ;
4.5.4. Дата рождения;
4.5.5. Место проживания (регистрации);
4.5.6. Адрес для направления корреспонденции (почтовый адрес);
4.5.7. Образец подписи;
4.5.8. Иные персональные данные, предусмотренные настоящим Положением.
5. Порядок обработки персональных данных
5.1. Принципы обработки персональных данных:
Общество самостоятельно осуществляет сбор с использованием информационно-телекоммуникационной сети «Интернет» персональных данных непосредственно от субъектов персональных данных и с их согласия, выраженного путем проставления галочки на сайте Оператора https://exorise.store/, до предоставления персональных данных.
5.5. Общество не несет ответственности за достоверность собранных персональных данных, полученных от субъекта персональных данных.
5.6. Общество производит запись собранных персональных данных в базу данных, принадлежащую Обществу.
5.7. Общество осуществляет следующие действия с собранными персональными данными:
5.9. Уточнение (обновление, изменение) персональных данных осуществляется, в частности, по заявлению субъекта персональных данных в порядке, определенном законодательством Российской Федерации.
5.10. Допуск к работе с персональными данными получают только работники Общества, давшие обязательство о неразглашении персональных данных, ставших известными им во время осуществления своих трудовых обязанностей.
5.11. Доступ к персональным данным также может предоставляться уполномоченным должностным лицам государственных и муниципальных органов власти в случаях, предусмотренных законодательством Российской Федерации.
5.12. В случае выявления неправомерной обработки персональных данных или выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных Общество обязано осуществить блокирование этих персональных данных на период проверки.
В случае подтверждения указанных фактов Общество обязано:
5.13. Удаление (уничтожение) персональных данных производится в следующих случаях:
6. Права субъектов персональных данных в целях обеспечения защиты персональных данных, хранящихся Обществом
6.1. В целях обеспечения защиты персональных данных, хранящихся у Общества, субъекты персональных данных имеют право на полную информацию об их персональных данных и обработке этих данных, в том числе содержащей:
В случае, если сведения были предоставлены, субъект персональных данных вправе повторно обратиться к Обществу не ранее, чем через 30 дней после первого обращения.
Указанные сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
Общество может отказать в предоставлении сведений в соответствии со ст. 18 Федерального закона «О персональных данных».
6.4. Общество обязано требовать у работников, допущенных к материальным носителям, содержащим персональные данные, дачу обязательства о неразглашении сведений, ставших известными таким работникам.
6.5. Общество обязано ознакомить с настоящим Положением всех работников, допущенных к работе с персональными данными.
7. Срок хранения персональных данных субъектов персональных данных
7.1. Персональные данные субъектов персональных данных хранятся Обществом до достижения целей обработки персональных данных, установленных настоящим Положением.
7.2. Срок хранения персональных данных не может составлять менее 5 лет.
7.3. По истечении срока хранения материальные носители, содержащие персональные данные, подлежат уничтожению, записи о персональных данных удаляются из базы данных.
8. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
8.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
8.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных федеральным законодательством, а также требований к защите персональных данных подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
9. Заключительные положения
9.1. Настоящее Положение вступает в силу с момента его утверждения.
9.2. Общество обеспечивает неограниченный доступ к настоящему документу.
9.3. Порядок рассмотрения обращений субъектов персональных данных устанавливается локальным актом Организации.
9.4. Настоящее Положение доводится до сведения субъектов персональных данных под роспись либо путем опубликования на сайте https://exorise.store/.
1.1. Настоящее Положение регулирует порядок обработки и защиты персональных данных контрагентов, пользователей интернет-магазина https://exorise.store/., владельцем которого является Обществом с ограниченной ответственностью«ЭКЗОРАЙЗ» (далее – Общество).
1.2. Настоящее Положение разработано на основе и во исполнение Конституции РФ, Федерального закона «О персональных данных».
1.3. Настоящее Положение вступает в силу с момента его утверждения генеральным директором Общества, действует бессрочно до замены его новым локальным правовым актом аналогичного назначения и является обязательным для исполнения всеми работниками Общества.
1.4. Все изменения в настоящее Положение вносятся приказами генерального директора Общества.
1.5. Общее руководство и контроль за выполнением положений данного документа осуществляет генеральный директор Общества.
2. Основные понятия
2.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2.2. Субъекты персональных данных – клиенты, контрагенты Общества, пользователи интернет-магазина https://exorise.store/.
2.3. Оператор – Общество, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
2.4. Третья сторона – физические или юридические лица, которым Общество передает персональные данные субъектов персональных данных с целью обработки;
2.5. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
2.6. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
2.7. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
2.8. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
2.9. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
2.10. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
2.11. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
2.12. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
2.13. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3. Основные цели и задачи обработки персональных данных
3.1. Организация обрабатывает персональные данные в следующих целях:
- обеспечения прав и свобод субъектов персональных данных в том числе защиты прав на неприкосновенность частной жизни;
- соблюдения законов и иных нормативно-правовых актов;
- исполнения гражданско-правовых обязательств перед клиентами Общества, аккредитующими субъектов персональных данных;
- контроля количества и качества выполняемой работы;
- обеспечения защиты персональных данных, полученных от субъектов персональных данных от несанкционированного доступа, неправомерного их использования или утраты
- регламентация ответственности должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
3.2. Задачами обработки персональных данных являются:
- защита персональных данных субъектов персональных данных;
- создание и ведение документации в случаях, предусмотренных законодательством РФ.
4. Состав персональных данных
4.1. К персональным данным относится информация, необходимая Обществу в связи с выполнением своей непосредственной деятельности, гражданско-правовыми отношениями, касающаяся конкретного субъекта персональных данных и позволяющая идентифицировать его личность.
4.2. В соответствии с действующим законодательством Российской Федерации персональные данные делятся на следующие группы:
- Персональные данные общей категории;
- Персональные данные специальных категорий;
- Биометрические персональные данные.
4.3. К специальным категориям персональных данных относятся сведения, касающиеся расовой принадлежности, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
4.3.1. Воспрещается обработка этих категорий персональных данных без письменного согласия субъекта персональных данных и допускается без его согласия только в строго определенных случаях, предусмотренных действующим законодательством Российской Федерации.
4.3.2. Обществом не обрабатываются специальные категории персональных данных, касающихся расовой принадлежности, национальной принадлежности, политических взглядов, религиозных или философских убеждений.
4.4. Биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных) Обществом не обрабатываются.
4.5. Перечень персональных данных общей и специальной категорий, обрабатываемых в Организации, определяется Обществом самостоятельно по принципу их необходимости и достаточности по отношению к заявленным целям их обработки и утверждается генеральным директором Общества. В частности, могут обрабатываться следующие персональные данные:
4.5.1. Фамилия, имя, отчество;
4.5.2. Гражданство;
4.5.3. Вид, номер, серия, дата и место выдачи документа, удостоверяющего личность, а также наименование органа, выдавшего документ;
4.5.4. Дата рождения;
4.5.5. Место проживания (регистрации);
4.5.6. Адрес для направления корреспонденции (почтовый адрес);
4.5.7. Образец подписи;
4.5.8. Иные персональные данные, предусмотренные настоящим Положением.
5. Порядок обработки персональных данных
5.1. Принципы обработки персональных данных:
- Обработка персональных данных должна осуществляться на законной и справедливой основе;
- Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- Обработке подлежат только персональные данные, которые отвечают целям их обработки;
- Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Общество должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
- Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
- обеспечения соблюдения законов РФ и иных нормативных правовых актов;
- выполнения требований законодательства Российской Федерации о формировании и предоставлении отчетности различным государственным органам.
- выполнения требований гражданского законодательства: для исполнения договоров, стороной которых либо выгодоприобретателем или поручителем по которым является субъект персональных данных;
- исполнения договоров, стороной которого является Общество при условии, что обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- архивного хранения документов в соответствии с законодательством Российской Федерации, в том числе выдачи архивных справок по требованию субъекта персональных данных или его законного представителя;
- в иных случаях, предусмотренных законодательством Российской Федерации.
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление и уничтожение персональных данных.
Общество самостоятельно осуществляет сбор с использованием информационно-телекоммуникационной сети «Интернет» персональных данных непосредственно от субъектов персональных данных и с их согласия, выраженного путем проставления галочки на сайте Оператора https://exorise.store/, до предоставления персональных данных.
5.5. Общество не несет ответственности за достоверность собранных персональных данных, полученных от субъекта персональных данных.
5.6. Общество производит запись собранных персональных данных в базу данных, принадлежащую Обществу.
5.7. Общество осуществляет следующие действия с собранными персональными данными:
- Сохранение персональных данных в базу данных, принадлежащую Обществу;
- Передача персональных данных организации, осуществляющей их хранение;
- Использование персональных данных при исполнении обязательств перед пользователями сайта, контрагентами.
5.9. Уточнение (обновление, изменение) персональных данных осуществляется, в частности, по заявлению субъекта персональных данных в порядке, определенном законодательством Российской Федерации.
5.10. Допуск к работе с персональными данными получают только работники Общества, давшие обязательство о неразглашении персональных данных, ставших известными им во время осуществления своих трудовых обязанностей.
5.11. Доступ к персональным данным также может предоставляться уполномоченным должностным лицам государственных и муниципальных органов власти в случаях, предусмотренных законодательством Российской Федерации.
5.12. В случае выявления неправомерной обработки персональных данных или выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных Общество обязано осуществить блокирование этих персональных данных на период проверки.
В случае подтверждения указанных фактов Общество обязано:
- в течение 7 рабочих дней уточнить персональных данных и снять блокирование персональных данных;
- в срок, не превышающий 3 рабочих дней прекратить неправомерную обработку персональных данных или уничтожить такие персональные данные в срок, не превышающий 10 рабочих дней, если невозможно обеспечить правомерность их обработки.
5.13. Удаление (уничтожение) персональных данных производится в следующих случаях:
- по истечении срока хранения персональных данных;
- отзыва согласия на обработку персональных данных;
- невозможности обеспечения правомерности обработки персональных данных.
6. Права субъектов персональных данных в целях обеспечения защиты персональных данных, хранящихся Обществом
6.1. В целях обеспечения защиты персональных данных, хранящихся у Общества, субъекты персональных данных имеют право на полную информацию об их персональных данных и обработке этих данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Обществом;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Обществом способы обработки персональных данных;
- сроки обработки персональных данных, в том числе сроки их хранения;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;
- на заявление требования об исключении или исправлении неверных или неполных персональных данных;
- на заявление требования об извещении Обществом всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- на обжалование в суд любых неправомерных действий или бездействия Общества при обработке и защите его персональных данных.
- подтверждение факта обработки персональных данных оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.
В случае, если сведения были предоставлены, субъект персональных данных вправе повторно обратиться к Обществу не ранее, чем через 30 дней после первого обращения.
Указанные сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
Общество может отказать в предоставлении сведений в соответствии со ст. 18 Федерального закона «О персональных данных».
6.4. Общество обязано требовать у работников, допущенных к материальным носителям, содержащим персональные данные, дачу обязательства о неразглашении сведений, ставших известными таким работникам.
6.5. Общество обязано ознакомить с настоящим Положением всех работников, допущенных к работе с персональными данными.
7. Срок хранения персональных данных субъектов персональных данных
7.1. Персональные данные субъектов персональных данных хранятся Обществом до достижения целей обработки персональных данных, установленных настоящим Положением.
7.2. Срок хранения персональных данных не может составлять менее 5 лет.
7.3. По истечении срока хранения материальные носители, содержащие персональные данные, подлежат уничтожению, записи о персональных данных удаляются из базы данных.
8. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
8.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
8.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных федеральным законодательством, а также требований к защите персональных данных подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
9. Заключительные положения
9.1. Настоящее Положение вступает в силу с момента его утверждения.
9.2. Общество обеспечивает неограниченный доступ к настоящему документу.
9.3. Порядок рассмотрения обращений субъектов персональных данных устанавливается локальным актом Организации.
9.4. Настоящее Положение доводится до сведения субъектов персональных данных под роспись либо путем опубликования на сайте https://exorise.store/.