Конфиденциальность персональных данных

Для того, чтобы предоставлять Вам качественный сервис, нам необходимо собирать, хранить и обрабатывать некоторую информацию о Вас. В частности, речь идет о контактных данных (почта, телефон, ФИО и т.п.).
Мы обязуемся охранять Ваши данные, не передавать их чужим людям (за исключением необходимости, например, транспортной компании) и не использовать в целях, которые могут Вам не понравиться.
Вы всегда можете отправить нам запрос на удаление всей информации о Вас, если пожелаете. Он будет обработан в течение 2-3 дней.

  1. Общие положения.
  2. Целью «Порядка о порядке обработки и обеспечения безопасности персональных данных в ООО «Тревери»» (далее – Порядок) определяет процессы обработки персональных данных (далее – ПДн), осуществляемые в ООО «Тревери» (далее – Компания) включая:
  • цели обработки персональных данных;
  • объёмы обрабатываемых персональных данных
  • субъекты, персональные данные которых обрабатываются
  • виды обрабатываемых персональных данных;
  • основания обработки персональных данных;
  • лица, осуществляющие обработку ПДн.
  1. Настоящий Порядок описывает мероприятия, выполняемые Компанией в целях:
  • соблюдения требований законодательства Российской Федерации в области обработки и защиты персональных данных, а также органов власти, имеющих отношение к регулированию области обработки и защиты персональных данных, Роскомнадзор, ФСБ России, ФСТЭК России;
  • обеспечения безопасности обрабатываемых персональных данных;
  • соблюдения законных прав субъектов персональных данных.
  1. Порядок разработан с учётом законодательных актов, приведённых в разделе «Нормативные ссылки».
  2. Термины и определения.

Персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту ПДн);

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

Использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определённой информации, требование не передавать такую информацию третьим лицам без согласия её обладателя;

Работник, ответственный за обеспечение безопасности ПДн – работник, назначаемый приказом Генерального директора Компании и несущий ответственность за выполнение процедур, связанных с обеспечением безопасности обрабатываемых ПДн.

  1. Принятые сокращения.

ПДн – персональные данные;

ИСПДн – информационная система персональных данных;

ИБ – информационная безопасность;

152-ФЗ – Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных;

ФСБ – Федеральная служба безопасности;

ФСТЭК – Федеральная служба по техническому и экспортному контролю;

Роскомнадзор – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций;

КоАП РФ – Кодекс Российской Федерации об административных нарушениях;

УК РФ – Уголовный кодекс Российской Федерации;

  1. Нормативные ссылки.

При разработке настоящего Порядка использованы следующие законодательные акты:

  1. Федеральный закон от 27 июля 2006 года и № 152-ФЗ «О персональных данных» (с допол-нениями и изменениями);
  2. Постановление Правительства от 01 ноября 2012 года РФ №1119 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
  3. Постановление Правительства от 15 сентября 2008 года №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации»;
  4. Постановление Правительства РФ от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
  5. «Кодекс РФ об административных правонарушениях» от 30 декабря 2001 г. № 195-ФЗ (с изменениями и дополнениями);
  6. «Уголовный кодекс РФ» от 13 июня 1996 г. № 63-ФЗ (с изменениями и дополнениями).
  7. Основные правила.
  8. Компания является оператором ПДн.
  9. Обработка ПДн в Компании осуществляется, как с использованием средств автоматизации, так и без их применения.
  10. Виды обрабатываемых ПДн, субъекты, которым принадлежат обрабатываемые ПДн, а также цели обработки ПДн, приведены в Приложении 1 к настоящему Порядку.
  11. При обработке ПДн Компания руководствуется принципами:
  • обеспечения законности целей и способов обработки ПДн;
  • соответствия целей обработки ПДн целям, заранее определённым и заявленным при сборе ПДн;
  • соответствия объема и характера обрабатываемых ПДн, а также способов обработки ПДн целям обработки ПДн;.
  • отсутствия избыточных ПДн по отношению к заявленным при сборе ПДн целям;
  • использования раздельных баз данных ИСПДн для несовместных целей обработки ПДн.
  1. Компания не осуществляет обработку специальных категорий ПДн.
  2. Компания не осуществляет обработку биометрических ПДн.
  3. Компания осуществляет трансграничную передачу ПДн
  4. Основания обработки ПДн.
  5. Компания осуществляет обработку ПДн на основании:
  • требований Федеральных законов, в которых установлена цель обработки ПДн, условия получения ПДн и круг субъектов, ПДн которых подлежат обработке, а также определены полномочия оператора;
  • согласия субъекта на обработку его ПДн (в роли субъекта ПДн выступают клиенты Компании).
  1. Полный перечень целей и оснований обработки ПДн приведены в Приложении 2 к настоящему Порядку.
  2. Доказательством получения согласия субъекта ПДн на обработку его данных являются согласие субъекта на обработку его ПДн, представленное в форме, предусмотренной действующим законодательством.
  3. Порядок обработки персональных данных.
  4. Обработка персональных данных в Компании должна осуществляться с учетом следующих требований:
  • Обработка персональных данных субъекта ПДн должна осуществляться с соблюдением требований Федерального закона 152-ФЗ «О защите персональных данных», а также требований постановления Правительства от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации» и иных нормативных правовых актов.
  • При определении объёма и содержания обрабатываемых персональных данных субъекта ПДн Компания обязана руководствоваться Конституцией Российской Федерации и иными Федеральными законами.
  • Персональные данные следует получать у самого субъекта ПДн. Если персональные данные субъекта ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлён об этом заранее и от него должно быть получено письменное согласие. Компания должна сообщить субъекту ПДн о целях обработки ПДн, о правовом основании, предполагаемых источниках и способах получения персональных данных, а так же о характере подлежащих получению персональных данных и последствиях отказа субъекта ПДн дать письменное согласие на их получение. Компания освобождается от обязанности предоставлять субъекту ПДн перечисленные сведения, в случаях, если субъект ПДн уведомлён об осуществлении обработки его персональных данных Компанией, персональные данные получены Компанией на основании Федерального закона или в связи с исполнением договора, стороной которого является субъект ПДн, персональные данные являются общедоступными или получены из общедоступного источника.
  • Компания не имеет права получать и обрабатывать персональные данные субъекта ПДн о его политических, религиозных, иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами договорных отношений данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны Компанией только с его письменного согласия.
  • Компания не имеет право получать и обрабатывать персональные данные субъекта ПДн о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Федеральным законом.
  • Компания не имеет право запрашивать информацию о состоянии здоровья субъекта ПДн, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
  1. Работники структурных подразделений Компании, указанных в Приложении 3 к настоящему Порядку, осуществляют обработку персональных данных субъектов ПДн в объёмах и целях, предусмотренных законодательством Российской Федерации и нормативными документами Компании, а также обеспечивают их защиту от неправомерного использования, утраты и несанкционированного уничтожения.
  2. При принятии решений, затрагивающих интересы субъекта ПДн, Компания не имеет права основываться на персональных данных субъекта ПДн, полученных исключительно в результате их автоматизированной обработки или электронного получения, в том числе на цифровых носителях, кроме согласия субъекта ПДн в письменной форме.
  3. Защита персональных данных субъектов ПДн от неправомерного их использования или утраты обеспечивается Компанией за счёт собственных средств и в порядке, установленном действующим законодательством РФ в области защиты персональных данных.
  4. При обработке персональных данных принимаются организационные и технические меры по обеспечению их конфиденциальности в соответствии с действующим законодательством РФ в области защиты персональных данных.
  5. Персональные данные хранятся:
  • в электронном виде (на серверах, входящих в состав ИСПДн) с соблюдением всех требований по их конфиденциальности (информационной безопасности);
  • на бумажных носителях, в запираемых шкафах и несгораемых сейфах соответствующих подразделений Компании с соблюдением их конфиденциальности.
  1. Передача персональных данных Субъектов ПДн третьим лицам.
  2. Компания вправе поручить обработку персональных данных третьему лицу с согласия субъекта персональных данных, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Компании, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные действующим законодательством РФ в области защиты персональных данных.
  3. При передаче персональных данных субъекта ПДн Компания обязана соблюдать следующие требования:
  • не сообщать персональные данные субъектов ПДн третьей стороне без согласия субъекта ПДн, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными Федеральными законами;
  • предупредить лиц, получающих персональные данные субъекта ПДн, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъектов ПДн, обязаны соблюдать режим секретности (конфиденциальности).
  1. предупредить лиц, получающих персональные данные субъекта ПДн, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъектов ПДн, обязаны соблюдать режим секретности (конфиденциальности).
  2. Компания несёт ответственность перед субъектом ПДн за действия третьего лица, осуществ-ляющего обработку ПДн по поручению Компании. В свою очередь, указанное третье лицо несёт ответственность перед Компанией.
  3. Организация доступа к персональным данным.
  4. Защита персональных данных в Компании предусматривает ограничение к ним доступа.
  5. Доступ к персональным данным разрешается только работникам структурных подразделений Компании, указанным в Приложении 3 к настоящему Порядку. При этом указанные лица имеют право получать только те ПДн, которые необходимы для выполнения конкретных функций, и в целях, для которых они сообщены.
  6. Доступ представителей государственных органов к ПДн регламентируется действующим законодательством Российской Федерации.
  7. Обязанности лиц, допущенных к обработке персональных данных.
  8. Лица, допущенные к работе с персональными данными, обязаны:
  • соблюдать требования по защите ПДн установленные в Компании;
  • обеспечивать сохранность закреплённого массива носителей с персональными данными, исключать возможность ознакомления с ними третьих лиц;
  1. Порядок хранения персональных данных определяются внутренними нормативными документами Компании.
  2. Соблюдение прав субъектов персональных данных.
  3. Субъект ПДн вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
  4. В случае соответствующего обращения субъекта ПДн Компания:
  • осуществляет идентификацию субъекта ПДн;
  • устанавливает факт обработки персональных данных субъекта ПДн;
  • предоставляет субъекту ПДн возможность ознакомления с полной информацией о его персональных данных, обрабатываемых в Компании;
  • вносит изменения, уничтожает или блокирует ПДн субъекта при предоставлении им сведений, подтверждающих, что обрабатываемые ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации или иного Федерального закона;
  • извещает всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта ПДн обо всех произведённых в них исключениях, исправлениях или дополнениях;
  • уведомляет субъекта ПДн о результатах запрашиваемых субъектом действий.
  1. Защита персональных данных.
  2. Компания обеспечивает конфиденциальность ПДн при их обработке.
  3. Контроль и надзор за обработкой персональных данных.
  4. Порядок взаимодействия Компании с органами, уполномоченными осуществлять контроль и надзор за обработкой персональных данных, определен внутренними нормативными документами Компании.
  5. Ответственность.
  6. Компания несёт ответственность:
  • за нарушение требований законодательства РФ по обработке и защите ПДн;
  • за нарушение конфиденциальности обрабатываемых ПДн;
  • за нарушение требований регулирующих организаций по обработке и защите ПДн.
  1. Работник Компании, в соответствии со своими полномочиями владеющий информацией о клиентах Компании, получающий и использующий её, несет ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
  2. Работник Компании, получающий для работы конфиденциальный документ, несёт ответственность за сохранность носителя и конфиденциальность полученной информации.
  3. Работник, виновный в нарушении норм, регулирующих получение, обработку и защиту персональных данных, может быть привлечен к ответственности.

 

Приложение 1. Перечень обрабатываемых персональных данных

  • Фамилия, Имя; Отчество
  • Дата рождения;
  • Адресные данные;
  • Информация о заказах;
  • Адрес электронной почты;
  • Контактный телефон;
  • Платежные реквизиты Клиента;
  • Информация о параметрах тела Клиента;
  • Паспортные данные (серия, номер, кем и когда выдан)

Источником получения перечисленных данных является Клиент, являющийся Субъектом ПДн. Обработка ведется с целью информирования Клиента о новых акциях, обработки заказа, заключения договора купли-продажи, транспортировки заказа Клиента, персонализации товарной выкладки на витрине Сайта, анализа базы данных клиентов Компании в маркетинговых целях.

Срок хранения ПДн не более 8 лет с момента последней закрытой сделки.

 

Приложение 2. Перечень целей обработки персональных данных в ООО «Тревери»

  • Информирование Клиента о новых акциях
  • Обработки заказа Клиента
  • Заключения договора купли-продажи
  • Транспортировка заказа Клиента
  • Персонализация товарной выкладки на витрине Сайта
  • Анализ базы данных клиентов Компании в маркетинговых целях

 

Приложение 3. Перечень подразделений, допущенных к обработке ПДн

  • Руководители Компании
  • Отдел менеджеров интернет-магазина
  • Складской отдел
  • Отдел разработки
  • Отдел маркетинга
  • Работники службы доставки
  • Отдел изготовления одежды
Консультация модельера Запомнить сайт