ПОЛИТИКА В ОБЛАСТИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

1.   Общие положения

1.1.     Политика Общества с ограниченной ответственностью «Торговый дом «Сергиевские минеральные воды» (далее - Общество) в области обработки и защиты персональных данных (далее - Политика) разработана в соответствии с Федеральным законом от 27 июля 2006 г.  № 152-ФЗ «О персональных данных» в целях обеспечения защиты прав и свобод физических лиц при обработке Обществом их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также в целях соблюдения требований законодательства Российской Федерации в области персональных данных.

1.2.     Настоящая Политика определяет основные принципы, цели, условия и способы обработки персональных данных, а также включает перечень мер, применяемых Обществом в целях обеспечения безопасности персональных данных.

2.   Принципы обработки персональных данных

2.1.     Обработка персональных данных должна осуществляться на законной и справедливой основе.

2.2.     Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.3.     Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

2.4.     Обработке подлежат только персональные данные, которые отвечают целям их обработки.

2.5.     Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

2.6.     При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Общество должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

2.7.     Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2.8.     Общество без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.

3.   Цели обработки персональных данных

Общество осуществляет обработку персональных данных в следующих целях:

1) обеспечения соблюдения трудового законодательства, содействия работникам в трудоустройстве, получении образования, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2) выполнения требований законодательства Российской Федерации   в сфере противодействия коррупции;

3) выполнения обязанностей по выплате сотрудникам заработной платы, компенсаций и премий, через подотчетных лиц денежных выплат физическим лицам по распоряжениям руководителя, а также по осуществлению пенсионных, страховых и налоговых отчислений;

4) принятия решений по обращениям граждан Российской Федерации в соответствии с действующем законодательством;

5) исполнения обязанностей по гражданско-правовым договорам;

6) осуществления функций, полномочий и обязанностей, возложенных действующим законодательством на Общество, в том числе по предоставлению персональных данных в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования, иные государственные органы;

7) в иных целях, предусмотренных действующим законодательством.

4.   Правовые основания обработки персональных данных

Общество при обработке персональных данных руководствуется следующими нормативными правовыми актами:

1) Конституцией Российской Федерации;

2) Гражданским кодексом Российской Федерации;

3) Трудовым кодексом Российской Федерации от 30 декабря 2001 г.      № 197-ФЗ;

4) Кодексом Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ;

5) Федеральным законом от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;

6) Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

7) Федеральным законом от 02 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;

8) Федеральным законом от 06 декабря 2011 г. № 402-ФЗ «О бухгалтерском учете»;

9) Федеральным законом от 24 июля 2009 г. № 212-ФЗ «О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования»;

10) Федеральным законом от 25 декабря 2008 г. № 273-ФЗ «О противодействии коррупции»;

11) Федеральный закон от 06 апреля 2011 г. № 63-ФЗ «Об электронной подписи»;

12) Федеральный закон от 27 декабря 2002 № 184-ФЗ «О техническом регулировании».

5.   Условия обработки персональных данных в ООО «Торговый дом «Сергиевские минеральные воды»

5.1.     Обработка персональных данных в Обществе осуществляется в соответствии с Федеральными законами от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», 14 главой Трудового кодекса Российской Федерации.

5.2.     Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе муниципального контракта, либо путем принятия соответствующего акта (далее – поручение оператора). Поручение оператора должно содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

5.3.     Общество осуществляет обработку специальных категорий персональных данных, касающихся состояния здоровья в соответствии с частью 2 статьи 10 Федерального закона от 27 июля 2006 г.    № 152-ФЗ «О персональных данных» и судимости в пределах полномочий, предоставленных Обществу в соответствии с трудовым законодательством.

5.4.     Общество производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.

6. Категории субъектов персональных данных, персональные данные которых обрабатываются в ООО «Торговый дом «Сергиевские минеральные воды»

Общество обрабатывает персональные данные следующих субъектов персональных данных:

физических лиц - соискателей на замещение вакантных должностей;

граждан, обратившихся по различным вопросам в Общество, а также физических лиц (клиентов), состоящих в договорных отношениях с Обществом.

7.    Особенности обработки персональных данных и их передачи третьим лицам

7.1.     Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

7.2.     В Обществе создаются общедоступные источники персональных данных (справочники). Персональные данные, сообщаемые субъектом, включаются в такие источники только с письменного согласия субъекта персональных данных или на основании требований действующего законодательства.

7.3.     В Обществе используется смешанный (с использованием средств автоматизации и без использования средств автоматизации) способ обработки персональных данных с передачей информации по локальной вычислительной сети и с передачей информации через информационно-телекоммуникационную сеть «Интернет» в защищенном режиме.

7.4.     Общество вправе передавать персональные данные третьим лицам в следующих случаях:

1) субъект персональных данных выразил свое согласие на такие действия в любой позволяющей подтвердить факт его получения форме;

2) передача предусмотрена федеральным законом в рамках установленной процедуры.

8.   Меры, применяемые ООО «Торговый дом «Сергиевские минеральные воды» для защиты персональных данных

Общество принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных субъектов персональных данных. К таким мерам, в частности, относятся:

1) назначение сотрудника, ответственного за организацию обработки персональных данных;

2) осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27 июля 2006 г. № 152-ФЗ    «О персональных данных», принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным актам Общества;

3) ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями действующего законодательства о персональных данных, требованиями к защите персональных данных, настоящей Политикой, локальными актами Общества по вопросам обработки и защиты персональных данных;

4) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

5) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;

6) осуществление оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных и не реже одного раза в 3 года после ввода в эксплуатацию;

7) учет и обеспечение сохранности материальных носителей персональных данных (хранение материальных носителей, содержащих персональные данные, в закрытых шкафах);

8) обнаружение попыток несанкционированного доступа к персональным данным и принятие мер по ним;

9) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

10) установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;

11) организация режима обеспечения безопасности помещений, в которых размещены информационные системы персональных данных, а также хранятся материальные носители персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

12) утверждение распоряжением руководителя перечня лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных обязанностей;

13) применение организационных и технических мер, направленных на обеспечение нейтрализации актуальных угроз и обеспечение требуемых уровней защищенности персональных данных при их обработке в информационных системах персональных данных.

9.   Права субъектов персональных данных

9.1.     Субъект персональных данных имеет право на:

1) получение информации, касающейся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами, в том числе по основаниям, установленным частью 8 статьи 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

2) защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

3) требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

4) отзыв своего согласия на обработку персональных данных (в случаях, когда обработка Обществом персональных данных осуществляется на основании согласия субъекта персональных данных);

5) обжаловать действий или бездействия Общества в части обработки его персональных данных в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций или в судебном порядке.

9.2.     Информация, касающаяся обработки персональных данных, предоставляется субъекту персональных данных или его представителю в доступной форме при обращении в Общество, или при получении администрацией запроса субъекта персональных данных или его представителя. Указанный запрос должен соответствовать требованиям части 3 статьи 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

10.   Контактная информация

Наименование оператора:  Общество с ограниченной ответственностью «Торговый дом «Сергиевские минеральные воды»

Адрес местонахождения оператора: 46533, Самарская область, Сергиевский район, поселок Серноводск, Советская улица, 81

E-mail: smv-shop@internet.ru

Ответственным за организацию обработки персональных данных в ООО «ТД «Сергиевские минеральные воды» является директор Зоркальце Н.А.