Политика безопасности ПДн
Положение
о неразглашении персональных данных
ПОЛИТИКА сайта Shop-TwoFoxes.ru В ОТНОШЕНИИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Основные термины и определения
В настоящей политике используются следующие основные понятия:
персональные данные - любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу (субъекту персональных данных);
оператор – ИП Ширяев Алексей Игоревич, самостоятельно организующее и
осуществляющее обработку персональных данных, а также определяющее цели
обработки персональных данных, состав персональных данных, подлежащих
обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных - любое действие (операция) или совокупность
действий (операций), совершаемых с использованием средств автоматизации или без
использования таких средств с персональными данными, включая сбор, запись,
систематизацию, накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передачу (распространение, предоставление, доступ),
обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных - обработка персональных
данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие
персональных данных неопределённому кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие
персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки
персональных данных (за исключением случаев, если обработка необходима для
уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых
становится невозможным восстановить содержание персональных данных в
информационной системе персональных данных и (или) в результате которых
уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых
становится невозможным без использования дополнительной информации определить
принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся в
базах данных персональных данных и обеспечивающих их обработку информационных
технологий и технических средств;
2. Общие положения
ИП Ширяев А.И., основываясь на целях безусловного выполнения требований
законодательства РФ и поддержания своей деловой репутации, считает своими
задачами исполнение принципов справедливости, законности, конфиденциальности,
безопасности при обработке персональных данных.
Настоящая политика в отношении обработки персональных данных:
разработана с учётом требований Конституции РФ, законодательства Российской
Федерации, нормативных правовых актов Российской Федерации в области
персональных данных;
определяет основные принципы, цели и способы обработки персональных данных,
состав субъектов персональных данных и их права, действия ИП Ширяев А.И. при
обработке персональных данных, меры, принимаемые ИП Ширяев А.И. по защите
персональных данных, а также меры по контролю за соблюдением требований
законодательства и данной политики;
является общедоступным документом, которым регулируется деятельность ИП Ширяев
А.И. при обработке персональных данных.
3. Информация об операторе
Наименование: Индивидуальный Предприниматель Ширяев Алексей Игоревич
ИНН: 631937046210
Адрес местонахождения: Самарская обл, Самара г, Карбышева ул., дом № 67
Телефон: +7 (846) 267-54-20
4. Правовые основания обработки персональных данных
Данная политика в отношении обработки персональных данных составлена в
соответствии с требованиями следующих нормативно-правовых актов РФ:
Конституции Российской Федерации;
Трудового кодекса Российской Федерации;
Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных»;
Указа Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении
Перечня сведений конфиденциального характера»;
постановления Правительства Российской Федерации от 13 сентября 2008 года №687
«Об утверждении Положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации»;
постановления Правительства Российской Федерации от 06 июля 2008 года №512 «Об
утверждении требований к материальным носителям биометрических персональных
данных и технологиям хранения таких данных вне информационных систем
персональных данных»;
постановления Правительства Российской Федерации от 01 ноября 2012 года №1119
«Об утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных»;
приказа ФСТЭК России от 18 февраля 2013 г. №21 «Об утверждении состава и
содержания организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных
данных»;
приказа Роскомнадзора от 05 сентября 2013 №996 «Об утверждении требований и
методов по обезличиванию персональных данных»;
иных нормативно-правовых актов Российской Федерации и нормативных документов
уполномоченных органов государственной власти.
5. Цели обработки персональных данных
ИП Ширяев А.И. обрабатывает персональные данные исключительно в целях:
осуществления хозяйственной деятельности, направленной на извлечение прибыли
(включая, но, не ограничиваясь путём: розничной торговли товарами, в том числе
строительными и отделочными материалами);
организации сети торговых предприятий;
оказание экспедиционных и транспортных услуг, необходимых для реализации
продукции;
организации гарантийного сервисного обслуживания;
оказания снабженческих, сбытовых, юридических, финансовых,
информационно-консультационных и маркетинговых услуг;
исполнения договора, одной из сторон (либо выгодоприобретателем) которого
является субъект персональных данных (включая трудовые отношения с работниками
Оператора, отношения с контрагентами/поставщиками и с покупателями/клиентами
Оператора).
Не допускается обработка персональных данных, которые не отвечают целям
обработки.
6. Субъекты и категории персональных данных
В информационных системах персональных данных ИП Ширяев А.И. обрабатываются
персональные данные следующих субъектов персональных данных:
штатных и нештатных работников, состоящих в трудовых/договорных отношениях с ИП
Ширяев А.И.
физических лиц - покупателей/клиентов ООО «Фабрика пола»;
физических лиц - контрагентов по договорам, заключённым ИП Ширяев А.И.
ИП Ширяев А.И. осуществляет обработку следующих категорий персональных
данных общей категории: фамилия, имя, отчество, дата рождения, месяц рождения,
год рождения, место рождения, данные документов, удостоверяющих личность,
документов воинского учёта, адрес (регистрации по месту жительства и
фактического проживания), контактные данные (номера телефонов, адреса
электронной почты), данные о месте работы и должности, данные, содержащиеся в
трудовой книжке, данные об образовании, данные о семейном положении, данные об
имущественном положении (включая сведения о доходах, финансовых обязательствах
субъекта персональных данных), ИНН, данные страхового свидетельства
государственного пенсионного фонда, реквизиты доверенности или иного документа,
подтверждающие полномочия, метаданные пользователя сайта (cookie, данные
об IP-адресе и местоположении).
7. Основные принципы обработки персональных данных
Обработка персональных данных в ИП Ширяев А.И. ведётся с учётом обеспечения
защиты прав и свобод как работников ИП Ширяев А.И., так и иных лиц при
обработке их персональных данных, в том числе прав на неприкосновенность
частной жизни, личную и семейную тайну на основе принципов:
законности и справедливости обработки персональных данных;
ограничения обработки персональных данных достижением конкретных, заранее
определенных и законных целей;
соответствия целей и способов обработки персональных данных тем целям, которые
были заявлены при сборе данных;
недопустимости объединения баз данных, созданных с разными целями для обработки
персональных данных;
соответствия необходимости и достаточности объёма, характера и способов
обработки персональных данных заявленным целям их обработки;
обеспечения точности, достоверности и, при необходимости, актуальности по
отношению к целям обработки;
хранения персональных данных в форме, позволяющей определить субъекта
персональных данных не дольше, чем того требуют цели обработки, требования
законодательства или договора, по которому выгодоприобретателем является
субъект персональных данных;
уничтожения или обезличивания персональных данных по достижении целей или
утраты необходимости в достижении этих целей, если иное не предусмотрено
требованиями законодательства.
8. Действия с персональными данными
ИП Ширяев А.И. осуществляет сбор, запись, систематизацию, накопление, хранение,
уточнение (обновление, изменение), извлечение, использование, передачу
(распространение, предоставление, доступ), обезличивание, блокирование,
удаление, уничтожение персональных данных.
В ИП Ширяев А.И. обработка персональных данных осуществляется следующими способами:
автоматизированная обработка персональных данных;
неавтоматизированная обработка персональных данных;
смешанная обработка персональных данных.
9. Меры по выполнению обязанностей ИП Ширяев А.И. в обеспечении
безопасности персональных данных при их обработке
Носители информации, содержащие персональные данные, хранятся в специальных
строго контролируемых помещениях, расположенных в пределах границ
контролируемых и охраняемых зон.
Помещения, где хранятся персональные данные, и технические средства, с помощью
которых производится обработка персональных данных, находятся под
круглосуточной охраной.
Информационный доступ к техническим средствам, с помощью которых производится
обработка персональных данных, реализован через автоматизированные рабочие места,
защищённые от несанкционированного доступа. В зависимости от степени
критичности информации разграничение (ограничение) доступа проводится
программно-аппаратными средствами идентификации и аутентификации пользователей.
Разграничен (ограничен) доступ персонала и посторонних лиц в защищаемые
помещения и помещения, где размещены средства информатизации и коммуникации, а
также где хранятся носители с персональными данными.
Информация доступна лишь для строго определенных работников. Производится
запись (логирование) входа/выхода работников в/из операционную(ой) систему(ы),
работы в автоматизированных рабочих местах, доступа к базам данных.
Реализована защита информации от сбоев оборудования и вредоносного программного
обеспечения. Применяется система восстановления информации.
10. Ответственность и контроль за соблюдением требований настоящей
политики и законодательства в области персональных данных
Ответственным за соблюдением требований законодательства в области персональных
данных и настоящей политики является Генеральный директор ИП Ширяев А.И.
В ИП Ширяев А.И. приказом Генерального директора назначается лицо,
ответственное за организацию обработки и обеспечение безопасности персональных
данных.
Лицо, ответственное за организацию и обеспечение безопасности персональных
данных, в рамках выполнения положений настоящей политики и законных актов
Российской Федерации в области персональных данных уполномочено:
определять угрозы безопасности персональных данных при их обработке в
информационных системах персональных данных;
планировать применение организационных и технических мер по обеспечению
безопасности персональных данных при их обработке в информационных системах
персональных данных, необходимых для противодействия угрозам безопасности
персональных данных и выполнения требований к защите персональных данных;
организовывать контроль и/или аудит соответствия принятых мер защиты при
обработке персональных данных Федеральному закону от 27.07.2006 №152-ФЗ «О
персональных данных», нормативным правовым актам, требованиям нормативных актов
к защите персональных данных, локальным актам;
оценивать эффективность принимаемых мер по обеспечению безопасности
персональных данных до ввода в эксплуатацию информационной системы персональных
данных и организовывать мониторинг уровня защищённости персональных данных при
эксплуатации информационной системы персональных данных;
проводить анализ по фактам нарушения положений настоящей политики;
разрабатывать и принимать соответствующие меры на поддержание необходимого уровня
защищённости персональных данных;
организовывать приём и обработку обращений и запросов регулирующих органов РФ,
субъектов персональных данных или их представителей.
Лица, виновные в нарушении норм действующего законодательства Российской
Федерации в области персональных данных могут быть привлечены к дисциплинарной,
административной, гражданской и уголовной ответственности в порядке,
установленном действующим законодательством Российской Федерации.
11. Права субъектов персональных данных
Субъект персональных данных имеет право на получение информации об обработке
его персональных данных в ИП Ширяев А.И., в том числе содержащую:
подтверждение факта обработки персональных данных;
правовое основание, цели и сроки обработки персональных данных;
способы обработки персональных данных;
иные сведения, предусмотренные законодательством Российской Федерации.
Право субъекта персональных данных на доступ к его персональным данным может
быть ограничено:
если обработка персональных данных, включая те, что получены в результате
оперативно-розыскной деятельности, выполняется в целях укрепления обороны
страны, обеспечения безопасности государства и охраны правопорядка;
если обработка персональных данных осуществляется в соответствии с
законодательством о противодействии легализации (отмыванию) доходов, полученных
преступным путём, и финансированию терроризма;
если доступ субъекта персональных данных нарушает права и законные интересы
третьих лиц;
при условии, что обработка персональных данных производится органами,
осуществляющими задержание субъекта персональных данных по подозрению в
совершении преступления, либо предъявившими субъекту персональных данных
обвинение по уголовному делу, либо применившими к субъекту персональных данных
меру пресечения до предъявления обвинения, за исключением предусмотренных
уголовно-процессуальным законодательством Российской Федерации случаев, когда
допускается ознакомление подозреваемого или обвиняемого с такими персональными
данными;
если обработка персональных данных осуществляется в случаях, предусмотренных
законодательством Российской Федерации о транспортной безопасности, в целях
обеспечения устойчивого и безопасного функционирования транспортного комплекса,
защиты интересов личности, общества и государства в сфере транспортного
комплекса от актов незаконного вмешательства.
Субъект персональных данных имеет право на:
уточнение своих персональных данных, их блокирование или уничтожение, если
персональные данные являются неполными, устаревшими, неточными, незаконно
полученными или не являются необходимыми для заявленной цели обработки:
отзыв согласия на обработку персональных данных;
осуществление иных прав, предусмотренных законодательством Российской Федерации
в области персональных данных.
Для реализации своих прав и законных интересов субъект персональных данных
может обратиться к ИП Ширяев А.И.
ИП Ширяев А.И. рассматривает обращения и жалобы со стороны субъектов
персональных данных, тщательно расследует факты нарушений и принимает все
необходимые меры для их немедленного устранения, наказания виновных лиц и
урегулирования спорных и конфликтных ситуации в досудебном порядке.
Субъект персональных данных вправе обжаловать действия или бездействие ИП
Ширяев А.И. путём обращения в уполномоченных орган по защите прав субъектов
персональных данных.
Субъект персональных данных имеет право на защиту своих прав и законных
интересов , в том числе в судебном порядке.
12. Заключительные положения
Настоящая политика разработана ИП Ширяев А.И. и утверждена приказом Директора ИП
Ширяев А.И.
Настоящая Политика является внутренним документом Оператора, общедоступной и
подлежит размещению на официальном сайте Оператора.
Настоящая Политика подлежит изменению, дополнению в случае появления новых
законодательных актов и специальных нормативных документов по обработке и
защите персональных данных
Контроль исполнения требований настоящей Политики осуществляется ответственными
за обеспечение безопасности персональных данных.
Ответственность должностных лиц Оператора, имеющих доступ к персональным
данным, за невыполнение требований норм, регулирующих обработку и защиту
персональных данных, определяется в соответствии с законодательством Российской
Федерации и внутренними документами Оператора.