8 (901) 132-32-11
Санкт-Петербург
Назад
/ Политика конфиденциальности

Политика конфиденциальности

Политика обработки персональных данных

ООО «Салотти»

 

1. Назначение и область определения

 

Политика обработки персональных данных ООО «Салотти» (далее - Политика) описывает порядок обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным.

Цель разработки настоящей Политики - обеспечение защиты прав и свобод человека и гражданина, при обработке его персональных данных, в том числе права на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

 

2. Сокращения, основные понятия и термины

 

Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

Оператор - организация, самостоятельно или совместно с другими лицами организующая и (или) осуществляющая обработку персональных данных, а также определяющая цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Оператором является ООО «Салотти», находящееся по адресу: 197375, г. Санкт-Петербург, ул. Репищева, д. 14, корп. 8, литера А, каб. 215, адрес для направления корреспонденции: 197375, г. Санкт-Петербург, а/я 14.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Информация - сведения (сообщения, данные) независимо от формы их представления.

 

 

3. Правовые основания обработки персональных данных

 

Политика разработана в соответствии со следующими нормативными правовыми документами Российской Федерации:

- Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28.01.1981 с поправками, одобренными Комитетом министров Совета Европы 15.06.1999, ратифицированная Федеральным законом Российской Федерации от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» в рамках, определяемых данным Федеральным законом, заявлений;

- Конституция Российской Федерации;

- Гражданский кодекс Российской Федерации;

- Кодекс Российской Федерации об административных правонарушениях;

- Трудовой кодекс Российской Федерации;

- Уголовный кодекс Российской Федерации;

- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту - Закон о персональных данных);

- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

- Перечень сведений конфиденциального характера, утвержденный Указом Президента Российской Федерации от 06.03.1997 № 188;

- Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждённое постановлением Правительства Российской Федерации от 15.09.2008 № 687;

- Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 01.11.2012 № 1119.

 

ООО «Салотти» осуществляет обработку персональных данных только при наличии согласия субъекта персональных данных.

Правовыми основаниями обработки персональных данных являются:

- договоры, заключаемые между ООО «Салотти» и субъектами персональных данных;

- согласия на обработку персональных данных.

 

Цели сбора и обработки персональных данных в ООО «Салотти»

 

Целями обработки персональных данных являются:

- продвижение товаров на рынке;

- заключение договоров на продажу товаров и оказание услуг с физическими и юридическими лицами;

- обеспечения финансово-хозяйственной деятельности ООО Салотти»;

- заключение трудовых договоров с физическими лицами;

- исполнение обязанностей юридического лица как работодателя;

- обеспечение пропускного режима;

- организация участия в социально-корпоративных мероприятиях.

 

Объем и категории обрабатываемых персональных данных,

категории субъектов персональных данных

 

Содержание и объем обрабатываемых персональных данных полностью соответствуют заявленным целям обработки.

ООО «Салотти» осуществляет сбор и дальнейшую обработку следующих категорий субъектов персональных данных:

- представители юридических лиц - контрагентов ООО «Салотти»;

- клиенты/потребители, посетители сайта ООО «Салотти»: www.salotti.spb.ru, www.salotti-mebel.ru, а также сайтов объявлений, мобильных приложений или профиля ООО «Салотти» в социальных сетях;

- участники бонусных программ лояльности;

- работники, состоящие в трудовых отношениях с ООО «Салотти»;

- супруги и близкие родственники работников, состоящие в трудовых отношениях с ООО «Салотти»;

- физические лица, с которыми ООО «Салотти» заключены гражданско-правовые договоры;

- соискатели на вакантные должности;

- посетители зданий ООО «Салотти»;

- арендаторы ООО «Салотти»;

- лица, входящие в органы управления ООО «Салотти» и не являющиеся работниками.

 

Порядок и условия обработки персональных данных

 

            Все персональные данные субъектов ООО «Салотти» получает от них самих, либо от их законных представителей.

Обработка персональных данных осуществляется в соответствии с действующим законодательством Российской Федерации ТОЛЬКО НА ОСНОВАНИИ СОГЛАСИЯ субъекта персональных данных, кроме случаев, предусмотренных Законом о персональных данных.

Допускается совмещение формы согласия субъекта с типовыми формами документов, содержащих персональные данные субъекта (например, анкеты, бланки).

Под обработкой персональных данных понимаются действия (операции) с персональными данными, включающие:

- сбор, хранение, уточнение (обновление, изменение);

- систематизацию, накопление;

- использование, распространение, передачу;

- обезличивание, блокирование, уничтожение.

Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает или не дает согласие на их обработку.

Персональные данные не распространяются, не предоставляются третьим лицам без согласия субъекта персональных данных и используются ООО «Салотти» исключительно для исполнения договоров и исполнения ООО «Салотти» иных обязанностей, предусмотренных законодательством Российской Федерации.

Персональные данные субъектов ООО «Салотти» обрабатываются в структурных подразделениях в соответствии с исполняемыми функциями.

Уполномоченные лица, допущенные к персональным данным субъектов ООО «Салотти», имеют право получать только те персональные данные субъекта, которые необходимы для выполнения конкретных функций, в соответствии с должностной инструкцией уполномоченных лиц.

Обработка персональных данных осуществляемая без использования средств автоматизации, выполняется в соответствии с требованиями Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 № 687.

Персональные данные при такой их обработке, обособляются от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.

Персональные данные подлежат уничтожению либо обезличиванию в следующих случаях, если:

- достигнуты цели обработки или утрачена необходимость в их достижении;

- получен отзыв согласия субъекта персональных данных на обработку персональных данных;

- представлены субъектом персональных данных или его законным представителем сведения, подтверждающие, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;

- выявлена неправомерная обработка персональных данных при обращении субъекта персональных данных или его законного представителя и невозможно обеспечить правомерную обработку персональных данных.

            Хранение материальных носителей персональных данных осуществляется в специально оборудованных шкафах и сейфах.

Места хранения определяются приказом об утверждении мест хранения материальных носителей персональных данных ООО «Салотти».

В срок, не превышающий 7 рабочих дней со дня предоставления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, ООО «Салотти» вносит в них необходимые изменения, а также уведомляет субъекта о внесенных изменениях.

Уничтожение персональных данных осуществляется в срок, не превышающий 30 рабочих дней с момента достижения цели обработки персональных данных, если иное не предусмотрено законодательством Российской Федерации.

В случае отзыва согласия субъекта персональных данных на обработку персональных данных уничтожение персональных данных осуществляется в срок, не превышающий 30 рабочих дней с момента отзыва согласия.

В случае представления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, уничтожение персональных данных осуществляется в срок, не превышающий 7 рабочих дней с момента представления субъектом персональных данных или его представителем указанных сведений.

В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его законного представителя и невозможности обеспечить правомерную обработку персональных данных уничтожение персональных данных осуществляется в срок, не превышающий 10 рабочих дней с момента выявления неправомерной обработки персональных данных.

Решение о неправомерности обработки персональных данных и необходимости уничтожения персональных данных принимает ответственный за организацию обработки персональных данных, который доводит соответствующую информацию до руководителя ООО «Салотти».

ООО «Салотти» уведомляет субъекта персональных данных или его законного представителя об уничтожении персональных данных.

Уничтожение персональных данных осуществляет комиссия в составе работников структурного подразделения, обрабатывавшего персональные данные субъекта и установившего необходимость уничтожения персональных данных под контролем руководителя этого структурного подразделения.

Способ уничтожения материальных носителей персональных данных определяется комиссией.

Допускается применение следующих способов уничтожения материальных носителей персональных данных:

- сжигание;

- шредирование (измельчение);

- передача на специализированные полигоны;

- химическая обработка.

При этом составляется акт, подписываемый председателем комиссии, проводившей уничтожение материальных носителей персональных данных.

При необходимости уничтожения большого количества материальных носителей или применения специальных способов уничтожения допускается привлечение специализированных организаций. В этом случае члены комиссии по уничтожению персональных данных должны присутствовать при уничтожении материальных носителей персональных данных. К акту уничтожения персональных данных прилагается накладная на передачу в специализированную организацию материальных носителей персональных данных, подлежащих уничтожению.

Уничтожение полей баз данных ООО «Салотти», содержащих персональные данные субъекта, выполняется в следующих случаях:

- достигнуты цели обработки или утрачена необходимость в их достижении;

- получен отзыв согласия субъекта персональных данных на обработку персональных данных;

- представлены субъектом персональных данных или его законным представителем сведения, подтверждающие, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;

- выявлена неправомерная обработка персональных данных при обращении субъекта персональных данных или его законного представителя и невозможности обеспечить правомерную обработку персональных данных.

Уничтожение осуществляет комиссия, в состав которой входят лица, ответственные за техническое обслуживание автоматизированных систем, которым принадлежат базы данных.

Уничтожение достигается путем затирания информации на носителях информации (в том числе и резервных копиях). При этом составляется акт, утверждаемый лицом, ответственным за техническое обслуживание автоматизированных систем, которому принадлежат базы данных.

Уничтожение архивов электронных документов и протоколов электронного взаимодействия может не производиться, если ведение и сохранность их в течение определенного срока предусмотрены соответствующими нормативными и (или) договорными документами.

При отсутствии технической возможности осуществить уничтожение персональных данных, содержащихся в базах данных, допускается проведение обезличивания путем перезаписи полей баз данных. Перезапись должна быть осуществлена таким образом, чтобы дальнейшая идентификация субъекта персональных данных была невозможна.

Контроль выполнения процедур уничтожения персональных данных осуществляет ответственный за организацию обработки персональных данных.

Обработка биометрических персональных данных (фотография, используемая для идентификации) в соответствии со статьей 11 Закона о персональных данных допускается при наличии согласия субъекта. Допускается совмещение формы согласия субъекта с типовыми формами документов, содержащих персональные данные субъекта (например, анкеты, бланки).

Решение, порождающее правовые последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных.

Защиту персональных данных субъектов от неправомерного их использования или утраты ООО «Салотти» обеспечивает за счет собственных средств в порядке, установленном законодательством Российской Федерации.

При обработке персональных данных принимаются необходимые организационные и технические меры по обеспечению их конфиденциальности.

Технические меры защиты персональных данных при их обработке техническими средствами устанавливаются в соответствии с:

- РД ФСТЭК России - Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утверждены приказом ФСТЭК России от 18.01.2013 № 21;

- локальными нормативными актами (внутренними документами) ООО «Салотти», действующими в сфере обеспечения информационной безопасности.

Защита персональных данных предусматривает ограничение к ним доступа.

В ООО «Салотти» утверждены распоряжением генерального директора и приняты к исполнению следующие локальные нормативные акты:

- документы, определяющие порядок обработки персональных данных;

- приказы об утверждении мест хранения материальных носителей персональных данных;

- приказы об установлении перечня лиц, осуществляющих обработку персональных данных либо имеющих доступ к ним;

- формы согласий субъекта на обработку его персональных данных;

- документы, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

- документы, регламентирующие порядок осуществления внутреннего контроля;

- документы, направленные на оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства в области персональных данных;

- порядок доступа лиц в помещения, где ведется обработка персональных данных;

- типовое обязательство о неразглашении персональных данных;

- типовая форма разъяснения субъекту персональных данных правовых последствий отказа предоставить свои персональные данные;

- перечень информационных систем персональных данных.

ООО «Салотти» оставляет за собой право проверить полноту и точность предоставленных персональных данных при наличии согласия субъекта персональных данных.

В случае выявления ошибочных или неполных персональных данных, ООО «Салотти» имеет право прекратить все отношения с субъектом персональных данных.

 

Порядок обработки обращений и запросов субъектов

 

При обращении либо письменном запросе субъекта персональных данных или его законного представителя на доступ к своим персональным данным ООО «Салотти» руководствуется требованиями статей 14, 18 и 20 Закона о персональных данных.

Доступ субъекта персональных данных или его законного представителя к своим персональным данным ООО «Салотти» предоставляет только под контролем ответственного работника за организацию обработки персональных данных.

Обращение субъекта персональных данных или его законного представителя фиксируются в журнале учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных.

Письменный запрос субъекта персональных данных или его законного представителя фиксируются в журнале регистрации письменных запросов граждан на доступ к своим персональным данным.

Ответственный за организацию обработки персональных данных принимает решение о предоставлении доступа субъекта к персональным данным.

В случае, если данных предоставленных субъектом недостаточно для установления его личности или предоставление персональных данных нарушает конституционные права и свободы других лиц ответственный за организацию обработки персональных данных подготавливает мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Закона о персональных данных или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо от даты получения запроса субъекта персональных данных или его законного представителя.

Для предоставления доступа субъекта персональных данных или его законного представителя к персональным данным субъекта ответственный за организацию обработки персональных данных привлекает работника (работников) структурного подразделения, обрабатывающего персональные данные субъекта по согласованию с руководителем этого структурного подразделения.

Сведения о наличии персональных данных ООО «Салотти» предоставляет субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

Контроль предоставления сведений субъекту или его законному представителю осуществляет ответственный за организацию обработки персональных данных.

Сведения о наличии персональных данных должны быть предоставлены субъекту при ответе на запрос в течение 30 рабочих дней от даты получения запроса субъекта персональных данных или его законного представителя.

 

Порядок действий в случае запросов надзорных органов

 

В соответствии с частью 4 статьи 20 Закона о персональных данных ООО «Салотти» в случае поступления письменного запроса уполномоченного органа по защите прав субъектов персональных данных на предоставление информации ответственный за организацию обработки персональных данных подготавливает и направляет в уполномоченный орган мотивированный ответ и другие необходимые документы в течение 30 дней с даты получения такого запроса.

Сбор сведений для составления мотивированного ответа на запрос уполномоченного органа по защите прав субъектов персональных данных осуществляет ответственный за организацию обработки персональных данных с привлечением работников ООО «Салотти» (при необходимости).