1. Общие положения
1.1. Настоящая политика в области обработки и защиты персональных данных оператора (далее - Политика) разработана в целях выполнения требований законодательства РФ в области обработки персональных данных, раскрывает основные категории персональных данных, обрабатываемых оператором, цели, способы и принципы обработки, права и обязанности оператора при обработке, права субъектов персональных данных. Политика является общедоступным документом, декларирующим концептуальные основы деятельности оператора при обработке персональных данных.
1.2. Настоящая Политика разработана на основании: статей Конституции Российской Федерации; Трудового Кодекса Российской Федерации; Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012г. №1119; Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687.
1.3. Настоящей Политикой определяется порядок обращения с персональными данными клиентов (субъектов персональных данных), Общества с ограниченной ответственностью «Удачный Выбор» (далее – Общество, оператор) и персональными данными работников Общества, которые необходимы работодателю в связи с трудовыми отношениями.
1.4. В отношении сведений о субъектах персональных данных, позволяющих идентифицировать его личность, за исключением обезличенных и общедоступных персональных данных, в установленных федеральными законами случаях, должна обеспечиваться конфиденциальность таких сведений.
1.5. Защита персональных данных клиента от неправомерного их использования или утраты должна быть обеспечена оператором за счет его средств в порядке, установленном Федеральным Законом и другими нормативными документами Российской Федерации.
1.6. Политика является обязательным для исполнения всеми работниками Общества, имеющими доступ к персональным данным.
1.7. Целями сбора персональных данных в Обществе являются: - заключение трудовых договоров, договоров с контрагентами, выполнение обязательств по этим договорам; - кадровое планирование, принятие решения о трудоустройстве кандидата на должность; - исполнение налогового законодательства, ведение бухгалтерского учета; - осуществление пропускного режима; - организация предоставления услуг Обществом в порядке, установленном действующим законодательством Российской Федерации, в том числе обеспечение оказания услуг по экспресс-доставке отправлений через электронный сервис в сети Интернет по адресу: www.catapulto.ru.
1.8. Правовыми основами для обработки персональных данных является совокупность правовых актов в области обработки персональных данных, во исполнение которых Общество ведет обработку персональных данных, включая, но не ограничиваясь: - федеральными законами и принятыми на их основе нормативными актами, регулирующими отношения, связанные с деятельностью Общества как оператора по обработке персональных данных; - уставом Общества; - договорами заключаемыми между Обществом и субъектом персональных данных; - согласием на обработку ПД (в случаях, прямо не предусмотренных законодательством РФ, но соответствующих полномочиям оператора); - настоящей Политикой и иными локальными актами по вопросам обработки персональных данных, действующими в Обществе.
1.9. Оператор не осуществляет обработку биометрических персональных данных (характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность), специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, и не производит трансграничную передачу персональных данных на территорию иностранного государства.
1.10. Категории субъектов персональных данных: - работники оператора (в том числе бывшие), кандидаты на замещение вакантных должностей, а также родственники работников; - клиенты и контрагенты оператора (физические лица).
1.11. Настоящая Политика не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные архивных документов в соответствии с законодательством об архивном деле в Российской Федерации, а также обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
1.12. В случаях, не указанных в настоящей Политике, следует руководствоваться действующими федеральными законами и нормативными правовыми актами Российской Федерации, регулирующими порядок обработки персональных данных.
2. Основные понятия персональных данных
2.1. Для целей настоящей Политики используются следующие основные понятия:
3. Персональные данные работника
3.1. В состав персональных данных работников Общества входят документы, содержащие информацию о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, а также о предыдущих местах их работы.
3.2. Обработка персональных данных работника осуществляется на основании его письменного согласия, за исключением случаев, прямо предусмотренных действующим законодательством РФ.
3.3. Комплект документов, сопровождающий процесс оформления трудовых отношений работника в Обществе при его приеме, переводе и увольнении.
3.4. Работник, как субъект персональных данных, имеет право на получение сведений:
3.5. Работник имеет право:
3.6. Хранение персональных данных работников Общества осуществляется в течение периода и в порядке, предусмотренными действующим законодательством Российской Федерации.
3.7. Условием прекращения обработки персональных данных является достижение целей их обработки, истечение срока согласия субъекта персональных данных на обработку его персональных данных, отзыв согласия на обработку персональных данных, а также выявление неправомерной обработки.
4. Персональные данные клиентов
4.1. В состав персональных данных клиентов входит информация о паспортных данных, а также иные сведения, сопровождающие оказание услуг по доставке отправлений и сопутствующих им услуг через электронный сервис в сети интернет по адресу: www.catapulto.ru.
4.2. Получение персональных данных клиента осуществляется путем представления клиентом согласия на обработку персональных данных через сайт, за исключением случаев, прямо предусмотренных действующим законодательством РФ. В случае недееспособности клиента или не достижения им возраста 15 лет согласие на обработку его персональных данных дает в письменной форме его законный представитель.
4.3. Клиент, как субъект персональных данных, в том числе специальной категории персональных данных, имеет право на получение сведений: - об операторе, о месте нахождения оператора, - о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, - на подтверждение факта обработки персональных данных оператором, а также цели такой обработки; - о способах обработки персональных данных, применяемые оператором; - о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; - о перечне обрабатываемых персональных данных и источник их получения; - о сроках обработки персональных данных, в том числе сроки их хранения; - о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных; - на ознакомление с персональными данными, за исключением случая, когда предоставление персональных данных нарушает конституционные права и свободы других лиц.
4.4. Клиент имеет право: - требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки; - доступа к своим Персональным данным при личном обращении к представителю Оператора при наличии паспорта; - доступа к своим Персональным данным при направлении письменного запроса, который должен содержать номер основного документа, удостоверяющего личность субъекта Персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта Персональных данных; - оформить доверенность на право доступа к его персональным данным; - принимать предусмотренные законом меры по защите своих прав.
4.5. Хранение персональных данных клиентов осуществляется в течение срока действия заключенных с ними договоров, а также в течение 3 (трех) лет после истечения срока действия таких договоров.
4.6. Условием прекращения обработки персональных данных является достижение целей их обработки, истечение срока согласия субъекта персональных данных на обработку его персональных данных, отзыв согласия на обработку персональных данных, а также выявление неправомерной обработки.
5. Сбор, обработка и хранение персональных данных
5.1. Все персональные данные субъекта следует получать у него самого. Информация о персональных данных субъекта предоставляется оператору субъектом устно, либо путем заполнения личных карточек формы Т-2 для работников, которые хранятся в личном деле в Обществе. Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом и от него должно быть получено письменное согласие (либо письменный отказ). В письменном уведомлении оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.
5.2. Общество не имеет права получать и обрабатывать персональные данные субъекта о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях.
5.3 Обработка персональных данных должна осуществляться на основе принципов: - обработка персональных данных должна осуществляться на законной и справедливой основе; - обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных; - не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой; - обработке подлежат только персональные данные, которые отвечают целям их обработки; - содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки; - при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. - хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.4 Согласие субъекта персональных данных не требуется в случаях, определенных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11, в том числе: - обработка персональных данных осуществляется на основании федерального закона, устанавливающего цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия Общества;
5.5 Письменное согласие субъекта на обработку своих персональных данных должно включать в себя: - фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; - наименование и адрес Общества, получающего согласие субъекта персональных данных; - цель обработки персональных данных; - перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; - наименование и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка будет поручена такому лицу; - перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; - срок, в течение которого действует согласие, а также способ его отзыва, если иное не установлено федеральным законом; - подпись.
5.6 Запрещается требовать от лица, поступающего на работу (или прием), документы помимо предусмотренных Трудовым кодексом РФ, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации.
5.7 Персональные данные субъектов хранятся в электронных базах данных и на бумажных носителях в Обществе. Для этого используются специально оборудованные шкафы и сейфы. Личные дела уволенных (прошедших обследование, лечение) субъектов хранятся в архиве Общества.
5.8. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, электронные базы). В общедоступные источники персональных данных могут включаться фамилия, имя, отчество, должность, подразделение, служебные телефоны и адрес электронной почты.
5.9. Сведения о начислении и выплате заработной платы работникам Общества хранятся в электронных базах данных и на бумажных носителях в помещении управления экономики и бухгалтерского учета. По истечении сроков хранения, установленных законодательством РФ, данные сведения передаются в архив Общества.
5.10 Конкретные обязанности по ведению, хранению личных дел субъектов, заполнению, хранению и выдаче трудовых книжек, иных документов, отражающих персональные данные субъектов, возлагается на работников, ведущих работу по приему персонала.
5.11 Персональные данные клиентов хранятся в электронных базах данных, которые могут быть подключены к локальной сети организации, а также на бумажных носителях.
5.12 Доступ к электронным базам данных ограничен паролем. Возможна передача персональных данных клиентов между структурными подразделениями с использованием учтенных съемных носителей или по внутренней сети Общества с использованием технических и программных средств защиты информации, с доступом только для работников Общества и его партнеров, допущенных к работе с персональными данными и только в объеме, необходимом данным работникам для выполнения ими своих должностных обязанностей.
5.13 Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
5.14 При получении сведений, составляющих персональные данные субъектов заинтересованные лица имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций и заданий.
6. Передача персональных данных субъектов персональных данных
6.1 При передаче персональных данных субъектов работники Общества, имеющие доступ к персональным данным, должны соблюдать следующие требования:
7. Защита персональных данных
7.1. Защита персональных данных в Обществе представляет собой принятие правовых, организационных и технических мер, направленных на: - обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; - соблюдение конфиденциальности информации ограниченного доступа; - реализацию права на доступ к информации.
7.2. В целях обеспечения безопасности персональных данных при их обработке в электронных базах данных Общества: - установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ; - обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях; - обеспечивать пропускной режим в соответствии с утвержденными документами по охране и осуществлению пропускного режима – в случаях, предусмотренных действующим законодательством Российской Федерации; - помещения, в которых ведется работа с персональными данными, должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц; - доступ к информации в электронном виде должен осуществляться с использованием парольной защиты, а в информационных системах персональных данных - с использованием средств автоматизации в соответствии с нормативными документами; - электронные носители информации, содержащие персональные данные, учитывают в журнале учета электронных носителей персональных данных.
7.3. Обеспечение безопасности персональных данных в информационных системах персональных данных осуществляется в соответствии с требованиями ст. 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012г. №1119, нормативными и руководящими документами уполномоченных федеральных органов исполнительной власти.
7.4 Мероприятия по обеспечению безопасности персональных данных проводятся в соответствии с «Составом и содержанием организационным и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденных приказом ФСТЭК России от 18.02.2013 № 21.
7.5 Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых Обществом угроз безопасности персональных данных (модели угроз) и в зависимости от уровня защищенности информационной системы, определенного в соответствии с «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденными Приказом ФСТЭК России от 1 ноября 2012 г. №1119.
7.6 Выбранные и реализованные методы и способы защиты информации в информационной системе должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке в информационных системах в составе системы защиты персональных данных.
7.7. Обеспечение безопасности персональных данных в информационных системах персональных данных без использования средств автоматизации осуществляется в соответствии с требованиями Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687.
7.8. Сотрудники Общества, имеющие доступ к персональным данным, обязаны принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, модифицирования, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении данной информации.
8. Ответственность
8.1. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работников Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.
9. Взаимодействие оператора и субъекта персональных данных
9.1. Оператор обязан сообщать субъекту персональных данных или его представителю информацию об осуществляемой обработке личных данных такого субъекта по поступлении к оператору соответствующих запросов от субъекта персональных данных и их представителей, а также уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия, доступа субъекта персональных данных к своим данным.
9.2. Запрос субъекта персональных данных может быть направлен на бумажном носителе, а также может быть подан через сайт.
9.3. Оператор обязан в сроки, предусмотренные действующим законодательством Российской Федерации, осуществить реагирование на поступивший запрос и сообщить субъекту персональных данных о результатах его рассмотрения.
9.4. Ответ на запрос может быть направлен субъекту тем же способом, которым был получен от него запрос, либо на бумажном носителе по месту его жительства (если оно известно оператору).
10. Заключительные положения
10.1. Настоящая Политика вступает в силу с даты утверждения генеральным директором Общества и действует бессрочно.
10.2. Внесение изменений и дополнений в настоящую Политику осуществляется путем издания приказов, распоряжений генеральным директором Общества.
10.3. Ознакомление работников Общества с настоящей Политикой осуществляется на бумажном носителе под личную подпись.
10.4. Издание и раскрытие неограниченному кругу лиц настоящей Политики оператора в области персональных данных осуществляется путем её опубликования на сайте Общества.
10.5. Приложениями к настоящей Политике являются:
Пользователь, оставляя обращение на интернет-сайте www.catapulto.ru, принимает настоящее Согласие на обработку персональных данных (далее – Согласие).
Действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность, в соответствии с Федеральным законом от 27.07.2006г. №152-ФЗ «О персональных данных» и иными нормативно-правовыми актами Пользователь принял решение о предоставлении своих персональных данных (далее – «ПД») и дает согласие на их обработку ООО «Удачный Выбор» (далее – «Оператор ПД»), на следующих условиях:
1) Настоящее согласие дается на обработку ПД как без использования средств автоматизации, так и с их использованием;
2) Согласие дается на обработку следующих персональных данных Пользователя:
3) Персональные данные не являются общедоступными.
4) Цель обработки ПД: обработка входящих запросов физических лиц с целью исполнения обязательств по формированию заказов и доставке отправлений, а также аналитики действий физического лица на веб-сайте и функционирования веб-сайта, проведения рекламных и новостных рассылок.
5) Основанием для обработки ПД являются: ст.24 Конституции Российской Федерации, ст.6 Федеральногозакона от 27.07.2006г. №152-ФЗ «О персональных данных», настоящее Согласие на обработку персональных данных.
6) В ходе обработки с ПД будут совершены следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
7) ПД обрабатываются до отказа (отписки) физического лица от рекламных и новостных рассылок. Также обработка ПД может быть прекращена по запросу субъекта ПД. Хранение ПД, зафиксированных на бумажных носителях, осуществляется согласно Федеральному закону № 125-ФЗ «Об архивном деле в Российской Федерации» и иным нормативно-правовым актам в области архивного дела и архивного хранения. Согласие может быть отозвано субъектом ПД или его представителем путем направления Оператору ПД соответствующего письменного заявления по адресу: 192012, г.Cанкт-Петербург, вн.тер.г. муниципальный округ Рыбацкое, пр-кт Обуховской обороны, д. 120, литера б, помещ. 1н, часть 130, 136-137 (офис 217)
8) В случае отзыва субъектом ПД или его представителем согласия на обработку персональных данных Оператор ПД вправе продолжить обработку ПД без согласия субъекта ПД при наличии оснований, согласно пунктам 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006г. №152-ФЗ «О персональных данных».
9) Настоящее Согласие действует в течение срока действия договора на оказание услуг по экспресс-доставке отправлений, заключенного между Оператором ПД и Пользователем, либо юридическим лицом, в интересах которого действует Пользователь, а также в течение трех лет после истечения срока действия указанного договора.