Политика сайта

1. Общие положения

1.1. Настоящая Политика «Обработки персональных данных» (далее – Политика) разработана на основании:

• Конституции Российской Федерации
• Трудового кодекса Россйской Федерации
• Гражданского кодекса Российской Федерации
• Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
• Федерального закона от 27.07.2006 года № 152-ФЗ «О защите персональных данных»
• Постановления Правительства РФ от 01.11.2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
• Постановления Правительства РФ от 15.09.2008 года №687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
• Постановления Правительства РФ от 17.10.2007 года №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
• Иные федеральные законы и нормативно-правовые акты.

1.2. Целями настоящей Политики являются определение обработки и обеспечения безопасности персональных данных.

1.3. Настоящая Политика распространяется на все бизнес процессы и обязательна к выполнению всеми сотрудниками ИП Хайрутдинов А.И.» (далее – Компания).

1.4. Детальное описание процессов обработки и обеспечения безопасности персональных данных описано во внутренних нормативных документах Компании.

2. Определения

2.1. Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

2.2. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

2.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2.4. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

2.5. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

2.6. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

2.7. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

2.8. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание Персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

2.9. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

2.10. Машинный носитель - магнитный диск, магнитная лента, лазерный диск и иные материальные носители, используемые для записи и хранения информации с помощью электронно-вычислительной техники.

3. Принципы обработки и обеспечения безопасности персональных данных

3.1. Принципы обработки персональных данных в Компани:

• 3.1.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
• 3.1.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
• 3.1.3. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
• 3.1.4. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
• 3.1.5. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
• 3.1.6. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.2. Компания как оператор, осуществляет обработку персональных данных физических лиц в рамках требований законодательства РФ в целях:

• 3.2.1. организации кадрового учета Компании, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам; ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, пенсионного законодательства, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования».
• 3.2.2. оногократного пропуска субъектов ПДн на территорию Компании.
• 3.2.3. заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством.
• 3.2.4. предоставление физическим лицам разнообразных услуг, требующих осуществлять сбор и обработку персональных данных.

3.3. В Компании используется смешанная обработка персональных данных. Под смешанной обработкой понимается автоматизированная и неавтоматизированная обработка персональных данных.

3.4. В случае достижения целей обработки персональных данных, если другое не предусмотрено законодательством РФ, Компания прекращает обработку и производит уничтожение персональных данных. Уничтожение персональных данных, в электронном виде, и персональных данных, содержащихся на материальных носителях, производится ответственными за этот процесс лицами согласно внутренней документации Компании.

3.5. В Компании используются современные и безопасные технологические решения для автоматизированной обработки, передачи и хранения персональных данных, исключающих несанкционированный доступ и утечку.

4. Основные требования к обработке персональных данных

4.1. Обработка персональных данных в Компании должна осуществляться с согласия субъекта персональных данных кроме случаев, когда такое согласие не требуется или же по поручению, в тех случаях когда Компания не является оператором персональных данных субъектов.

4.2. В случаях предусмотренных законодательством обработка персональных данных осуществляется с согласия субъекта персональных данных, оформляемого в соответствии законодательством.

4.3. Рекомендации к порядку получения согласия субъекта персональных данных и виду согласия описаны во внутренней документации Компании.

4.4. Лица, допущенные к обработке персональных данных, должны подписать обязательство о неразграшении персональных данных.

4.5. Во избежании несанкционированного доступа к персональным данным рекомендуется:

• 4.5.1. При неавтоматизированной обработке руководствоваться требованиями предъявляемыми постановлением Правительства РФ № 687 «Об утверждении положения об особенностях обработки пероснальных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 г.
• 4.5.2. При автоматизированной обработке руководствоваться требованиями предъявляемыми постановлением Правительства РФ № 781 «Об утверждении положения об обеспечении безопасности пероснальных данных при их обработке в информационных системах пероснальных данных» от 17.10.2007 г. и приказом ФСТЭК России № 58 «Об утверждении положения о методах и способах защиты информации в информационных системах пероснальных данных».

5. Мероприятия по обеспечению безопасности пероснальных данных

5.1. Мероприятия по обеспечению безопасности пероснальных данных реализуются:

• 5.1.1. определение угроз безопасности пероснальных данных при их обработке в информационных системах пероснальных данных;
• 5.1.2. применение организационных и технических мер по обеспечению безопасности пероснальных данных при их обработке в информационных системах пероснальных данных, необходимых для выполнения требований к защите пероснальных данных;
• 5.1.3. учет машинных носителей пероснальных данных;
• 5.1.4. обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
• 5.1.5. восстановление пероснальных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• 5.1.6. установление правил доступа к персональным данным, обрабатываемым в информационной системе пероснальных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе пероснальных данных.

6. Права субъектов пероснальных данных

6.1. Субъект пероснальных данных согласно имеет следующие права:

• 6.1.1. Субъект пероснальных данных имеет право на получение информации, касающейся обработки его данных.
• 6.1.2. Субъект пероснальных данных вправе требовать от оператора уточнения его пероснальных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
• 6.1.3. Сведения, предоставляются субъекту пероснальных данных на основании запроса. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

7. Обязанности сотрудников Компании

7.1. Работники Компании и иные лица, допущенные к обработке персональных данных, обязаны:

• 7.1.1. Ознакомиться с данной Политикой и внутренними документами, регламентирующими процесс обработки персональных данных, и выполнять требования этих документов.
• 7.1.2. Обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей.
• 7.1.3. Не разглашать персональные данные, к которым был получен доступ в рамках исполнения своих трудовых обязанностей.
• 7.1.4. Информировать о фактах разглашения (уничтожения, искажения) персональных данных ответственных сотрудников.

8. Ответственность за несоблюдение Политики

8.1. Лица, допустившие несоблюдение настоящей Политики, повлекшее за собой разглашение, утрату или нарушение целостности персональных данных несут ответственность в соответствии с действующим законодательством.

9. Заключительные положения

9.1. Изменения в настоящую Политику могут быть внесены Директором Компании по предложению ответственных лиц.

9.2. Настоящая Политика обязательна для соблюдения всеми сотрудниками Компании.

9.3. Режим конфиденциальности персональных данных снимается в случаях их обезличивания.

Предоставляя свои персональные данные Покупатель даёт согласие на обработку, хранение и использование своих персональных данных на основании ФЗ № 152-ФЗ «О персональных данных» от 27.07.2006 г. ИП Хайрутдинов А.И. в следующих целях:

• Регистрации Пользователя на сайте
• Осуществление клиентской поддержки
• Получения Пользователем информации о маркетинговых событиях
• Выполнение Продавцом обязательств перед Покупателем
• Проведения аудита и прочих внутренних исследований с целью повышения качества предоставляемых услуг.

Под персональными данными подразумевается любая информация личного характера, позволяющая установить личность Покупателя такая как:

• Фамилия, Имя, Отчество
• Контактный телефон
• Адрес электронной почты
• Почтовый адрес (адрес для доставки)

Персональные данные Покупателей хранятся исключительно на электронных носителях и обрабатываются с использованием автоматизированных систем, за исключением случаев, когда неавтоматизированная обработка персональных данных необходима в связи с исполнением требований законодательства.

Продавец обязуется не передавать полученные персональные данные третьим лицам, за исключением следующих случаев:

• По запросам уполномоченных органов государственной власти РФ только по основаниям и в порядке, установленным законодательством РФ;
• Стратегическим партнерам, которые работают с Продавцом для предоставления продуктов и услуг, или тем из них, которые помогают Продавцу реализовывать продукты и услуги потребителям. Мы предоставляем третьим лицам минимальный объем персональных данных, необходимый только для оказания требуемой услуги или проведения необходимой транзакции.

Сроки хранения гражданско-правовых договоров, содержащих персональные данные Клиентов, а также сопутствующих их заключению, исполнению документов - 5 лет с момента окончания действия договоров.