Политика обработки персональных данных

Политика обработки персональных данных

и реализуемых требований к защите персональных данных

Настоящая Политика обработки персональных данных и реализуемых требований к защите персональных данных (далее — Политика) разработана в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных и действует в отношении всей информации, которую Общество с ограниченной ответственностью «Смит-Трейд» (далее - оператор), может получить в рамках осуществления своей деятельности. Политика разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и предназначена для ознакомления неограниченного круга лиц.

В Политике определены требования к персоналу оператора, степень ответственности персонала, структура и необходимый уровень защищенности, статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в информационных системах персональных данных (ИСПДн)  оператора.

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1.   Целью настоящей Политики, является обеспечение безопасности объектов защиты оператора в информационных системах от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн (УБПДн) информационной системы.

1.2.   Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

1.3.   Информация и связанные с ней ресурсы должны быть доступны для субъектов ПДн. Должно осуществляться своевременное обнаружение и реагирование на УБПДн.

1.4.   Должно осуществляться предотвращение преднамеренных или случайных, частичных или полных несанкционированных модификаций или уничтожения данных.

1.5.    Состав объектов защиты представлен в  главе II «Правовой режим обработки персональных данных», подлежащих защите.

Область действия:

            Требования настоящей Политики распространяются на всех работников  оператора (штатных, временных, работающих по контракту и т.п.), а также всех прочих лиц (покупатели, подрядчики, аудиторы и т.п.).

2. ПРАВОВОЙ РЕЖИМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1.    Субъекты персональных данных

В ООО «Смит-Трейд» обрабатываются персональные данные следующих категорий физических лиц (субъектов персональных данных):

- работников (лиц, состоящих в трудовых отношениях с ООО «Смит-Трейд», в том числе  работников по гражданско-правовым договорам;

-  покупатели торговых центров;

- иных лиц, в том числе соискателей вакантных должностей ООО «Смит-Трейд», давших согласие на обработку своих персональных данных, либо сделавших общедоступными свои персональные данные или чьи персональные данные получены из общедоступного источника, а также в других случаях, предусмотренных законодательством  Российской Федерации.

2.  Категории обрабатываемых персональных данных

ООО «Смит-Трейд» обрабатывает следующие категории персональных данных:

2.1. Работники, в том числе те, с которыми трудовые договоры уже прекращены (расторгнуты): фамилия, имя, отчество; пол, возраст; дата и место рождения; паспортные данные; адрес регистрации по месту жительства и адрес фактического проживания; номер телефона (домашний, мобильный); данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации; семейное положение, сведения о составе семьи; отношение к воинской обязанности; сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы; СНИЛС; ИНН; информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности; сведения о деловых и иных личных качествах, носящих оценочный характер.

2.2. Покупатели, включая обладателей бонусных и сервисных карт ООО «Смит-Трейд», предоставивших свои персональные данные ООО «Смит-Трейд» для обработки, участников проводимых маркетинговых акций, мероприятий и исследований, иных лиц, обратившихся в ООО «Смит-Трейд» любым доступным способом и предоставивших свои персональные данные в связи с обращением: фамилия, имя, отчество; дата рождения; пол; контактная информация (телефон, e-mail), адрес прописки, адрес проживания и др. Порядок обработки персональных данных покупателей интернет-магазина регламентирован Политикой конфиденциальности ООО «Смит-Трейд», размещенной на сайте в сети Интернет по адресу: www.tgsmit.ru.

3.    Цели обработки персональных данных

ООО «Смит-Трейд» осуществляет обработку персональных данных в следующих целях:

3.1. Работники: содействие в трудовой деятельности, обеспечение личной безопасности, учет результатов исполнения договорных обязательств, осуществление безналичных платежей на счет работника, обеспечение работоспособности и сохранности ресурсов и имущества работодателя, осуществление коллективного взаимодействия и совместного использования информационных ресурсов, а также наиболее полное исполнение обязательств и компетенций в соответствии с Трудовым кодексом Российской Федерации, и другими нормативно-правовыми актами Российской Федерации в сфере трудовых отношений.

3.2. Покупатели: обеспечение функционирования программ лояльности ООО «Смит-Трейд», продажи через торговые центры и Интернет-магазин, включая доставку товара и предоставление иных услуг; проведение маркетинговых акций, мероприятий, исследований и других мероприятий для покупателей и (или) с их участием; подготовка ответов на обращения и запросы; участие в судебных спорах, связанных с основной деятельностью Оператора.

ООО «Смит-Трейд» не собирает и не обрабатывает персональные данные, не требующиеся для достижения целей, указанных в п.3 Политики, не использует персональные данные субъектов в каких-либо целях, отличных от указанных выше.

4.  Правовое основание обработки персональных данных.

ООО «Смит-Трейд» осуществляет обработку персональных данных на основании:

4.1. Федеральных законов и принятых на их основе нормативных правовых актов, регулирующих отношения, связанные с деятельностью ООО «Смит-Трейд»;

4.2. Трудового  кодекса  Российской Федерации от 30.12.2001 № 197-ФЗ;

4.3. Устава ООО «Смит-Трейд»;

4.4. Согласий на обработку персональных данных

4.4. и иных нормативных актов.

5.  Перечень действий с персональными данными

ООО «Смит-Трейд» осуществляет обработку (сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение) персональных данных, в том числе с использованием средств автоматизации.

ООО «Смит-Трейд» может поручить обработку персональных данных третьим лицам в случаях, если:

- субъект дал согласие на осуществление таких действий (при наличии условий в договоре с третьим лицом о соблюдении им принципов и правил обработки персональных данных, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

- для осуществления и выполнения возложенных законодательством Российской Федерации на ООО «Смит-Трейд» функций, полномочий и обязанностей;

- в других случаях, предусмотренных законодательством Российской Федерации.

Трансграничная передача персональных данных не осуществляется.

6.    Права субъекта

Субъект персональных данных, согласно законодательству Российской Федерации, имеет право:

- получать информацию, касающуюся обработки своих персональных данных;

- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- требовать прекращение обработки своих персональных данных в случаях, предусмотренных законодательством Российской Федерации;

- обжаловать действия или бездействие ООО «Смит-Трейд» в судебном порядке в случае нарушения им порядка обработки персональных данных субъекта;

- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

7.  Условия прекращения обработки персональных данных    

Срок или условие прекращения обработки персональных данных в ООО «Смит-Трейд»:

- ликвидация ООО «Смит-Трейд» или прекращение деятельности;

-  истечение  75 лет – хранение персональных данных работников;

-  по исполнению обязательств по договорам и в течение срока исковой давности;

- отзыв согласия если иное не предусмотрено Федеральным законодательством, либо в течение срока хранения документов согласно установленным срокам хранения для определенных категорий документов, если иное не предусмотрено Федеральным законодательством.

            8. ООО «Смит-Трейд» принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных граждан - субъектов персональных данных.

             К мерам, применяемым для защиты персональных данных, относятся:

- назначение сотрудника, ответственного за организацию обработки персональных данных;

- осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных»;

- разработка документов, определяющих политику ООО «Смит-Трейд» в отношении обработки персональных данных, локальные документы по вопросам обработки персональных данных;

- ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, с требованиями к защите персональных данных, с документами, определяющими политику ООО «Смит-Трейд» в отношении обработки персональных данных, локальными документами по вопросам обработки персональных данных;

- опубликование в сети Интернет документа, определяющего политику ООО «Смит-Трейд» в отношении обработки персональных данных;

- систематическое осуществление оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;

- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;

- осуществление контроля над принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

8.1. Методы защиты персональных данных

            Методами защиты персональных данных являются:

-     реализация разрешительной системы допуска к обработке персональных данных;

- ограничение доступа в помещения, где размещены технические средства, осуществляющие обработку персональных данных, а также хранятся носители информации;

-   разграничение доступа к персональным данным;

- регистрация действий сотрудников, контроль несанкционированного доступа к персональным данным;

-    использование защищенных каналов связи.

3. ТРЕБОВАНИЯ К ПЕРСОНАЛУ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

    1. Сотрудники оператора, являющиеся пользователями информационных систем персональных данных (ИСПДн), должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн.

2. При вступлении в должность нового сотрудника непосредственный начальник подразделения, в которое он поступает, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ПК.

3. Сотрудник должен быть ознакомлен со сведениями настоящей Политики, принятых процедур работы с элементами ИСПДн и СЗПДн.

4. Сотрудники оператора, использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей, логинов и паролей) и не допускать несанкционированный доступ к ним, а так же возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов.

5. Сотрудники оператора должны следовать установленным процедурам поддержания режима безопасности ПДн при выборе и использовании паролей (если не используются технические средства аутентификации).

6. Сотрудники оператора должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.

7. Сотрудникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию.

8. Сотрудникам запрещается разглашать защищаемую информацию, которая стала им известна при работе с информационными системами оператора, третьим лицам.

9. При работе с ПДн на ПК сотрудники оператора обязаны обеспечить исключение возможности просмотра ПДн третьими лицами с мониторов.

10. При завершении работы на ПК сотрудники обязаны защитить  монитор с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты.

11. Сотрудники оператора должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение. Они должны быть ознакомлены под подпись с ответственностью, предусмотренной законодательством РФ.

12. Сотрудники обязаны без промедления сообщать обо всех подозрительных случаях работы ПК, способные повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководству и лицу, отвечающему за немедленное реагирование на угрозы безопасности ПДн.

13. Ответственность сотрудников  оператора:

13.1. Действующее законодательство РФ позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению работы ЭВМ или сетей (статьи 272, 273 и 274 Уголовного Кодекса  Российской Федерации).

13.2.Сотрудники оператора несут ответственность за все действия, совершенные от имени их учетных записей или системных учетных записей, если не доказан факт несанкционированного использования учетных записей.

13.3. При нарушениях сотрудниками оператора  правил, связанных с безопасностью ПДн, они несут ответственность, установленную действующим законодательством Российской Федерации.

4. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

1.    Изменение Политики

ООО «Смит-Трейд» имеет право вносить изменения в настоящую Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее утверждения и размещения в общедоступном месте, если иное не предусмотрено новой редакцией Политики.

2.  Обратная связь

Общество с ограниченной ответственностью «Смит-Трейд» (ООО «Смит-Трейд»), юридический адрес: 670042, Республика Бурятия, г. Улан-Удэ, улица Жердева, 8 а, офис 1