Политика ООО «Мягкий офис» в отношении обработки персональных данных
1. Назначение
1.1. Настоящий документ определяет политику ООО «Мягкий офис» (далее – Оператор) в отношении обработки персональных данных (далее – ПД) и организации их защиты.
1.2. Настоящая политика в области обработки и защиты ПД (далее – Политика) разработана в соответствии с п. 2 ст. 18.1 Федерального закона «О персональных данных» №152-ФЗ от 27 июля 2006 года и действует в отношении всех персональных данных, обрабатываемых Оператором.
1.3. Целью настоящей Политики является защита интересов Оператора, субъектов ПД, обрабатываемых Оператором, а также выполнение законодательства Российской Федерации о персональных данных.
1.4. Политика распространяется на Данные, полученные как до, так и после принятия настоящей Политики.
2. Общие положения
2.1. В целях гарантированного выполнения норм федерального законодательства Оператор считает важнейшей задачей соблюдение принципов законности, целостности и конфиденциальности при обработке ПД, а также обеспечение безопасности процессов их обработки.
2.2. Политика характеризуется следующими признаками:
2.2.1. Разработана в целях обеспечения реализации требований законодательства РФ в области обработки ПД субъектов персональных данных.
2.2.2. Раскрывает основные категории персональных данных, обрабатываемых Оператором, цели, способы и принципы обработки Оператором ПД, права и обязанности оператора при обработке ПД, права субъектов ПД, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности ПД при их обработке.
2.2.3. Является общедоступным документом, декларируемым концептуальные основы деятельности Оператора при обработке ПД.
2.3. Действие настоящего документа распространяется на все процессы, в рамках которых осуществляется обработка персональных данных субъектов ПД всех категорий, а также на подразделения, принимающие участие в указанных процессах.
2.4. Основные положения документа могут быть распространены также на подразделения других организаций и учреждений, осуществляющие взаимодействие с Оператором в качестве поставщиков и потребителей (пользователей) информации.
3. Информация об Операторе
Наименование: ООО «Мягкий офис»
ИНН: 5027260044
Юридический адрес: 140060 Московская область, Люберецкий район, пос. Октябрьский, ул. Ленина, д.55
Фактический адрес: 140060 Московская область, Люберецкий район, пос. Октябрьский, ул. Ленина, д.55
Тел.: +7(499)703-14-10
Е-mail: sale@hortika-mebel.ru
Сайт: www.hortika-mebel.ru
4. Правовые основания обработки персональных данных
4.1. Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ:
4.1.1. Конституцией Российской Федерации.
4.1.2. Уставом ООО «Мягкий офис».
4.1.3. Гражданским кодексом Российской Федерации.
4.1.4. Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
4.1.5. Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
4.1.6. Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
4.1.7. Приказ от 18 февраля 2013 г. N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
4.1.8. Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. Москва «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
4.1.9. Постановление Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
4.2. Во исполнение настоящей Политики Оператором утверждены следующие локальные нормативные правовые акты:
4.2.1. Приказ о назначении ответственного за организацию обработки персональных данных.
4.2.2. Приказ об установлении списка лиц, имеющих доступ к персональным данным работников.
4.2.3. Положение об обработке и защите персональных данных.
4.2.4. Инструкция пользователя, имеющего доступ к персональным данным.
4.2.5. Акт определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных.
4.2.6. Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных.
4.2.7. План проведения внутренних проверок режима защиты персональных данных.
5. Цели обработки персональных данных
5.1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих целях:
5.1.1. Исполнения положений нормативных актов, указанных в п.4.1. настоящей Политики.
5.1.2. Реализации основного вида деятельности согласно Устава.
5.1.3. Для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
5.1.4. Для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
5.1.5. Для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта).
5.1.6. Для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг (в ред. Федерального закона от 05.04.2013 N 43-ФЗ).
5.1.7. Для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
5.1.8. Для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных (в ред. Федерального закона от 03.07.2016 N 231-ФЗ).
5.1.9. Для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
5.1.10. Обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных.
5.1.11. Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных).
5.1.12. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
6. Категории обрабатываемых персональных данных
6.1. Оператором обрабатываются следующие категории персональных данных юридических и физических лиц:
6.1.1. Фамилия, Имя, Отчество.
6.1.2. Контактный телефон.
6.1.3. Электронная почта.
6.1.4. Адрес проживания.
7. Способы и принципы обработки персональных данных
7.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона 152-ФЗ «О персональных данных».
7.2. Обработка персональных данных Оператором осуществляется на основе следующих принципов:
7.2.1. Обработка персональных данных осуществляется на законной и справедливой основе.
7.2.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
7.2.3. Обработке подлежат только те персональные данные, которые отвечают целям их обработки.
7.2.4. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки.
7.2.5. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.
7.2.6. Сроки хранения персональных данных установлены нормами федерального законодательства, указанных в п.4.1.
7.3. Обработка персональных данных Оператором включает в себя следующие процессы: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, персональных данных.
8. Сведения о третьих лицах, участвующих в обработке персональных данных
8.1. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
8.2. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
8.3. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
9. Меры по обеспечению безопасности персональных данных при их обработке
9.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
9.1.1. Назначением ответственного за организацию обработки персональных данных.
9.1.2. Осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам.
9.1.3. Ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и (или) обучением указанных сотрудников.
9.1.4. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных с помощью составления частной модели угроз безопасности персональных данных при их обработке в информационной системе персональных данных.
9.1.5. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.
9.1.6. Учетом машинных носителей персональных данных.
9.1.7. Выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.
9.1.8. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
9.1.9. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
9.1.10. Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
10. Права субъектов персональных данных
10.1. В соответствии с №152-ФЗ «О персональных данных» субъект персональных данных имеет право:
10.1.1. Получить сведения касающиеся обработки ПД оператором, а именно:
- подтверждение факта обработки персональных данных оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных №152-ФЗ «О персональных данных»;
- информацию об осуществленной или предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные №152-ФЗ «О персональных данных» или другими федеральными законами.
10.1.2. Потребовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
10.1.3. Отозвать согласие на обработку персональных данных в предусмотренных законом случаях. Отзыв согласия на обработку персональных данных осуществляется путем отзыва акцепта настоящей Публичной оферты по форме, указанной здесь.
10.2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами РФ.
10.3. Для реализации своих прав (см. пп. 10.1.1–10.1.3.) и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Тот рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
10.4. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных (см.п.11.2).
10.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
11. Заключительные положения
11.1. Оператор имеет право вносить изменения в настоящую Политику.
11.2. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения и размещения на сайте Оператора, если иное не предусмотрено новой редакцией Политики.
11.3. Настоящая политика обязательна для соблюдения и ознакомления всех сотрудников Оператора.