Политика конфиденциальности
ПОЛИТИКА ЗАЩИТЫ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения
1.1 Положение общества с ограниченной ответственностью «СП-Компьютер» (далее по тексту также – «СПК») в отношении обработки персональных данных (далее – Положение) разработано как политика обработки персональных данных, необходимая во исполнение требований пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2 Действие Положения распространяется на все персональные данные субъектов, обрабатываемые в СПК с применением средств автоматизации и без применения таких средств.
1.3 Во исполнение требований части 2 статьи 18.1 Закона о персональных данных к настоящему Положению имеет доступ любой субъект персональных данных, в том числе с использованием глобальной компьютерной сети Интернет.
1.4 Во всем ином, что не предусмотрено настоящим Положением, СПК руководствуется положениями действующего законодательства Российской Федерации.
2. Основные понятия
2.1 В настоящем Положении используются следующие основные понятия:
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
клиент (покупатель) – физические или юридические лица, приобретающие Товары, делающие Заказы в Интернет-магазине;
продавец – коммерческая организация, индивидуальный предприниматель, или гражданин РФ, признанный в установленном законодательством РФ порядке самозанятым, принявший Оферту.
3. Правовые основания, цели сбора и обработки персональных данных
3.1 Правовым основанием обработки персональных данных является совокупность нормативных правовых актов и нормативных документов уполномоченных органов государственной власти, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных:
– Конституция Российской Федерации;
– Гражданский кодекс Российской Федерации;
– Налоговый кодекс Российской Федерации;
– Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
– Приказ Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
– Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
– Постановление Правительства РФ от 29.06.2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных»;
– Приказ Роскомнадзора от 28.10.2022 № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных»;
– иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора по обработке персональных данных;
– локальные нормативные акты оператора;
– согласие субъектов персональных данных на обработку их персональных данных, получаемое в форме, утвержденной приложением № 1 к Положению.
3.2 Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.3 Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.4 Обработка оператором персональных данных осуществляется в следующих целях:
1) в отношении клиентов оператора – регистрации клиентов в Интернет-магазине www.sp-computer.ru (далее по тексту – Сайт), заключения, изменения, расторжения, повторного заключения договоров купли-продажи товара клиентом на сайте, а также принятия ими условий Оферты
на приобретении товара на сайте интернет-магазина www.sp-computer.ru, иных локальных актов оператора.
2) в отношении продавцов – регистрации продавцов в Интернет-магазине www.sp-computer.ru (далее по тексту – Сайт), заключения, изменения, расторжения, повторного заключения договоров купли-продажи товара клиентом на сайте, а также принятия продавцом условий Оферты на использование интернет-магазина www.sp-computer.ru, иных локальных актов оператора.
3) в отношении клиентов третьих лиц, осуществляющих деятельность в Интернет-магазине www.sp-computer.ru – регистрации указанных лиц на Сайте, заключения, изменения, расторжения, повторного заключения договоров купли-продажи товара, указанными лицами на сайте, а также принятия ими условий Оферты на приобретении товара на сайте интернет-магазина www.sp-computer.ru и Оферты на использование интернет-магазина www.sp-computer.ru, иных локальных актов оператора.
3.5 При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4.1 Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2 Оператор осуществляет обработку персональных данных в соответствии с настоящим Положением в отношении следующих категорий субъектов:
– Клиенты (покупатели) оператора;
– Продавцы оператора.
4.3 Оператор осуществляет обработку следующих категорий персональных данных:
4.3.1. в отношении клиентов (покупателей):
– фамилия, имя, отчество клиента;
– мобильный телефон клиента;
– электронная почта клиента;
– наименование улицы, на которую будет осуществляться доставка для клиента;
– номер дома, в который будет осуществляться доставка для клиента;
– номер квартиры (офиса), в которую (-ый) будет осуществляться доставка для клиента;
– фамилия, имя, отчество лица, получающего товар;
– почтовый индекс места, куда осуществляется доставка товара для клиента.
4.3.2 в отношении продавцов:
– наименование;
– свидетельство ОГРН или ОГРНИП (при наличии);
– адрес регистрации, почтовый адрес, адрес электронной почты, контактный номер телефона;
– банковские реквизиты;
– ИНН;
– КПП;
– ОКВЭД.
4.4 Сроки обработки и хранения документации, содержащей персональные данные, устанавливаются в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и Федеральным законом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации».
4.5 Срок хранения персональных данных, обрабатываемых посредством информационных систем, соответствует сроку хранения персональных данных на бумажных носителях.
5. Порядок и условия обработки персональных данных
5.1 Обработка персональных данных оператором осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и Положением.
5.2 Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
5.3 Обработка персональных данных может осуществляться оператором в информационной системе с использованием средств автоматизации и без использования таких средств, а также на бумажных носителях.
5.4 Датой начала обработки персональных данных субъекта персональных данных является дата предоставления им согласия на обработку его персональных данных.
5.5 Оператор осуществляет автоматизированную обработку персональных данных с передачей полученной информации, как по внутренней локальной корпоративной сети оператора, так и в сети «Интернет».
5.6 Обработка персональных данных осуществляется путем:
– создания документов, содержащих персональные данные, на бумажном и на электронном носителях;
– получения персональных данных в устной форме непосредственно от субъекта;
– внесения персональных данных в журналы, реестры и информационные системы оператора;
– использования иных способов обработки персональных данных.
5.7.Оператором могут использоваться следующие информационные системы:
− корпоративная электронная почта;
− система электронного документооборота;
− внутренняя локальная корпоративная сеть Оператора.
5.8 Обработка персональных данных оператором прекращается в следующих случаях:
– при ликвидации или реорганизации оператора – непосредственно после внесения записи в единый государственный реестр юридических лиц;
– при выявлении факта неправомерной обработки персональных данных – не позднее 3 рабочих дней с даты выявления факта;
– если обеспечить правомерную обработку персональных данных не представляется возможным – в течение 10 рабочих дней с момента выявления таких обстоятельств;
– при достижении целей обработки персональных данных, если цель не является постоянной – не позднее 2 рабочих дней с момента достижения цели;
– при истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных – на следующий день, следующий за днём истечения срока действия или отзыва.
5.9 Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
5.10 Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
5.11 Трансграничная передача персональных данных оператором не осуществляется.
5.12 Субъект персональных данных вправе:
– получать от оператора информацию, касающуюся обработки его персональных данных;
– требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
– требовать от оператора прекращения обработки персональных данных в целях продвижения товаров, работ, услуг путем осуществления прямых контактов с помощью средств связи;
– обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
6. Ознакомление, актуализация и исправление персональных данных
6.1 Подтверждение факта обработки персональных данных оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в части 7 статьи 14 Закона о персональных данных, предоставляются оператором субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.
6.2 В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
6.3 В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
6.4 В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом, или иных необходимых документов уточняет персональные данные в течение 7 рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
7. Блокировка, обезличивание и уничтожение персональных данных
7.1 Оператор блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.
7.2 При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные обезличиваются за исключением случаев, предусмотренных Законом.
7.3 Оператором устанавливаются следующие способы обезличивания при условии дальнейшей обработки персональных данных:
− замена части данных идентификаторами;
− обобщение, изменение или удаление части данных;
− деление данных на части и обработка в разных информационных системах;
− перемешивание данных;
− иные способы, позволяющие обезличить персональные данные.
7.4 Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение семи рабочих дней со дня представления субъектом персональных данных (его представителем) сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
7.5 Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение десяти рабочих дней с даты выявления неправомерной обработки.
7.6 Персональные данные уничтожаются в течение тридцати дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и Обществом либо если Общество не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
7.7 При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение тридцати дней.
7.8 Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение тридцати дней с даты поступления отзыва субъектом персональных данных согласия на их обработку.
7.9 Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляет лицо, ответственное за организацию обработки персональных данных.
7.10 Уничтожение персональных данных осуществляет лицо, ответственное за организацию обработки персональных данных.
7.11 Указанное лицо составляет акт с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
7.12 Уничтожение персональных данных, содержащихся на бумажных носителях, осуществляется путем измельчения на мелкие части, исключающие возможность последующего восстановления и использования информации. Измельчение осуществляется с использованием шредера (уничтожителя документов) или иного устройства, позволяющего уничтожить носители персональных данных указанным способом.
7.13 Персональные данные, хранящиеся на персональных электронных устройствах оператора и (или) на перезаписываемых съёмных машинных носителях информации, используемых для её хранения передачи (флеш-накопителях, внешних жестких дисках, CD-дисках и иных подобных устройствах) производится с использованием штатных средств информационных и операционных систем путем форматирования и удаления информации.
7.14 Уничтожение персональных данных на носителях, установленных пунктом 7.13 Положения, которые невозможно уничтожить с помощью штатных средств информационных и операционных систем путем форматирования и удаления информации, производится путем деформирования (неустранимого физического повреждения) носителя, исключающего возможность его дальнейшего использования и (или) восстановления данных.
7.15 Ответственное за уничтожение и (или) обезличивание информации, содержащей персональные данные, лицо подписывает соответствующий «Акт об уничтожении/обезличивании персональных данных» по форме, утвержденной в приложении № 3 к Положению.
8. Конфиденциальность персональных данных
8.1 Информация, относящаяся к персональным данным, доступ к которой получен оператором или иными лицами в установленном законом порядке, не подлежат разглашению третьим лицам, за исключением случаев, предусмотренных федеральным законом.
8.2 Сотрудники оператора и иные лица, получившие доступ к персональным данным и осуществляющие их обработку, подписали обязательство о неразглашении конфиденциальной информации, а также предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности, в случае нарушения норм и требований действующего законодательства РФ в области обработки персональных данных.
9. Меры по защите персональных данных
9.1 Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
− принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
− назначает лицо, ответственное за организацию обработки персональных данных;
– утверждает перечень должностей, при замещении которых обрабатываются персональные данные;
− устанавливает порядок доступа в помещения, в которых ведется обработка персональных данных;
− устанавливает порядок передачи персональных данных в пределах Общества;
− утверждает форму согласия на обработку персональных данных, а также форму согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
− устанавливает порядок защиты персональных данных при их обработке в информационных системах персональных данных;
− хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
− организует обучение работников, осуществляющих обработку персональных данных.
9.2 Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении.
9.3 Материальные носители персональных данных хранятся в шкафах, запирающихся на ключ.
Выдача ключей от шкафов осуществляется под подпись.
9.4 Доступ к персональным данным, содержащимся в информационных системах оператора, осуществляется по индивидуальным паролям.
9.5 В организации оператора используется сертифицированное антивирусное программное обеспечение.
9.6 В должностные инструкции работников оператора, обрабатывающих персональные данные, включаются, в частности, положения о необходимости сообщать о любых случаях несанкционированного доступа к персональным данным.
9.7 Оператор проводит внутренние расследования в следующих ситуациях при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных, и в иных случаях, предусмотренных законодательством в области персональных данных.
9.8 Лицо, ответственное за организацию обработки персональных данных, осуществляет внутренний контроль:
− за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов;
− за соответствием локальных нормативных актов требованиям законодательства в области персональных данных.
9.10 Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных в течении 10 лет, если иной срок хранения персональных данных не установлен федеральным законом или договором.
9.11 При сборе персональных данных оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием информационных систем и баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в законе.