Политика обработки персональных данных

в ООО «Декор-ателье»

1. Общие положения

1.1. Настоящая Политика определяет принципы и условия обработки персональных данных (далее - ПД), меры по защите ПД, а также обязанности ООО «Декор-ателье» (далее - Организация) при их обработке.
1.2. Настоящая Политика разработана в соответствии с действующим законодательством РФ о персональных данных и нормативно-методическими документами исполнительных органов государственной власти по вопросам осуществления обработки и обеспечения безопасности ПД, в том числе при их обработке в информационной системе.
1.3. В соответствии с Федеральным законом от 27.07.2006 № 152 «О персональных данных», к настоящей Политике должен быть обеспечен неограниченный доступ субъектов ПД, в том числе путем публикации на сайте Организации в сети Интернет, где осуществляется сбор ПД.
1.4. Действие настоящей Политики по обработке персональных данных распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (распространению, предоставлению, доступу), блокированию, удалению, уничтожению ПД, осуществляемых с использованием средств автоматизации и без использования таких средств.
1.5. Требования Политики являются обязательными для исполнения всеми работниками Организации.

2. Принципы обработки ПД

2.1. Обработка ПД в Организации осуществляется в соответствии со следующими принципами:
2.1.1. осуществление обработки ПД осуществляется на законной и справедливой основе;
2.1.2. обеспечение ограничения обработки персональных данных конкретными, заранее определенными и законными целями, в том числе недопущение обработки персональных данных, несовместимой с целями сбора (получения) ПД;
2.1.3. не допускается объединение баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместных между собой;
2.1.4. обработке подлежат только те ПД, которые отвечают целям их обработки;
2.1.5. содержание и объем обрабатываемых ПД соответствуют заявленным целям обработки.
2.1.6. обрабатываемые ПД не являются избыточными по отношению к заявленным целям обработки;
2.1.7. при обработке ПД обеспечивается точность ПД, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;
2.1.8. осуществление хранения персональных данных в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен законодательством РФ, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект персональных данных;
2.1.9. уничтожение или обеспечение уничтожения персональных данных (если обработка персональных данных осуществляется другим лицо, действующим по поручению Организации), по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.
2.2. Обрабатываемые ПД подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3. Цели обработки ПД

3.1. Обработка ПД осуществляется Организацией в заранее определенных целях. В зависимости от конкретных целей обработки персональных данных такая обработка может включать в себя, в частности, совершение всех или некоторых из следующих действий (операций) с персональными данными: сбор (получение), запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3.2. Для каждой цели обработки ПД предусмотрены следующие способы обработки ПД: автоматизированная обработка персональных данных (с помощью средств вычислительной техники) и неавтоматизированная обработка персональных данных с фиксацией персональных данных на материальных носителях. Обработка Организацией ПД указанными способами осуществляется с соблюдением требований законодательства РФ. При обработке ПД автоматизированном способом Организация принимает необходимые меры по обеспечению безопасности обрабатываемых персональных данных. Обработка ПД неавтоматизированном способом, в том числе хранение материальных носителей ПД, осуществляется в помещениях, обеспечивающих их сохранность, с возможностью определить места хранения персональных данных в порядке, предусмотренном законодательством РФ.
3.3. Сроки обработки, в том числе хранения ПД для каждой цели обработки персональных данных устанавливаются с учетом соблюдения требований, в том числе условий обработки ПД, определенных законодательством РФ, и/или согласия Субъекта персональных данных на обработку его персональных данных, при этом обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если иное не установлено законодательством РФ.
3.4. Порядок уничтожения ПД:
Уничтожение персональных данных производится в следующих случаях:
- при достижении цели (целей), истечении срока обработки ПД или в случае утраты необходимости в достижении цели (целей) обработки ПД, если иное не установлено применимыми нормативными правовыми актами РФ;
- при выявлении факта неправомерной обработки ПД;
- при отзыве субъектом ПД согласия на обработку ПД;
- при предъявлении субъектом ПД требования о прекращении обработки персональных данных.

4. Условия обработки ПД

4.1. Обработка ПД осуществляется с соблюдением принципов и правил, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Обработка ПД допускается в следующих случаях:
4.1.1. обработка ПД осуществляется с согласия субъекта ПД на обработку его ПД;
4.1.2. обработка ПД необходима для достижения целей, предусмотренных договором.
4.2. При отсутствии необходимости получения согласия субъекта на обработку ПД в письменной форме, установленной Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», согласие субъекта может быть дано субъектом ПД или его представителем в любой позволяющей подтвердить факт получения согласия форме, в том числе в электронном виде.
4.3. Организация вправе поручить обработку ПД другому лицу с согласия субъекта ПД, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее – поручение оператора). Лицо, осуществляющее обработку ПД по поручению Организации, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящей Политикой и Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
4.4. В случае, если Организация поручает обработку ПД другому лицу, ответственность перед субъектом ПД за действия указанного лица несет Организация. Лицо, осуществляющее обработку ПД по поручению Организации, несет ответственность перед Организацией.
4.5. Организация и иные лица, получившие доступ к ПД, обязаны не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено федеральным законом.

5. Права субъекта ПД

5.1. Субъект ПД вправе требовать от Организации уточнения своих ПД, их блокирования или уничтожения в случаях, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.2. Субъект ПД имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
− подтверждение факта обработки Организацией ПД;
− правовые основания и цели обработки ПД;
− цели и применяемые Организацией способы обработки ПД;
− наименование и место нахождения Организации, сведения о лицах (за исключением работников Организации), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Организацией или на основании Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
− обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких ПД не предусмотрен Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
− сроки обработки ПД, в том числе сроки их хранения;
− порядок осуществления субъектом ПД прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
− информацию о ранее осуществленной или о предполагаемой трансграничной передаче ПД;
− наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Организации, если обработка поручена или будет поручена такому лицу;
− иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.
5.3. Для реализации и защиты своих прав и законных интересов субъект ПД или его представители имеют право обратиться к Организации по адресу электронной почты info@decor-a.ru, либо по адресу: 197198, г. Санкт-Петербург, пр-кт Большой П.С., д. 48, оф. 502.

6. Обязанности Организации

6.1. Организация обязана:
6.1.1. соблюдать требования законодательства РФ в отношении обработки и защиты ПД, в том числе требования, предусмотренные для сбора ПД;
6.1.2. при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных субъектов ПД (граждан РФ) с использованием баз данных, находящихся на территории РФ, за исключением случаев, предусмотренных законодательством РФ;
6.1.3. при сборе ПД с использованием информационно-телекоммуникационных сетей, опубликовать на сайте Организации в сети Интернет политику в отношении обработки ПД, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети;
6.1.4. в случае, если предоставление персональных данных и/или согласия на их обработку является обязательным в соответствии с требованиями законодательства РФ и субъект ПД отказывается предоставить персональные данные и/или предоставить согласие на их обработку, разъяснить юридические последствия непредоставления персональных данных и/или согласия на их обработку;
6.1.5. выполнять обязанности, предусмотренные для операторов ПД, при получении запросов и/или обращений по вопросам персональных данных от субъекта ПД и/или государственного органа;
6.1.6. принимать меры, направленные на обеспечение выполнения требований действующего законодательства РФ;
6.1.7. принимать меры по обеспечению безопасности ПД при их обработке;
6.1.8. выполнять обязанности по устранению нарушений законодательства РФ, если такие нарушения были допущены при обработке ПД, а также выполнять обязанности по уточнению, блокированию, уничтожению ПД в случаях, предусмотренных законодательством РФ;
6.1.9. выполнять обязанности, установленные для операторов ПД, в случае получения от субъекта ПД требования о прекращении обработки ПД, и/или отзыва согласия на обработку ПД;
6.1.10. взаимодействовать с государственными органами по вопросам, связанным с обработкой и защитой ПД;
6.1.11. выполнять иные обязанности, предусмотренные законодательством РФ.

7. Меры обеспечения безопасности персональных данных

7.1. Для обеспечения безопасности (конфиденциальности, целостности, доступности) ПД, защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, Организацией принимаются необходимые правовые, организационные и технические меры или обеспечивается их принятие. В частности, принимаются следующие меры:
7.1.1. назначается ответственное лицо за организацию обработки ПД;
7.1.2. ведется внутренний контроль и (или) аудит соответствия обработки ПД Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных»;
7.1.3. определяются актуальные угрозы безопасности ПД, и применяются соответствующие организационные и технические меры защиты для установленных уровней защищенности ПД;
7.1.4. определяются типы угроз безопасности ПД, с учетом оценки вреда, который может быть причинен субъектам ПД;
7.1.5. для нейтрализации актуальных угроз безопасности персональных данных применяются средства защиты информации, соответствующие уровням защищенности ПД;
7.1.6. проводится оценка эффективности принимаемых мер по обеспечению безопасности ПД;
7.1.7. осуществляется организация учета технических средств, входящих в состав информационной системы, а также машинных носителей, обеспечивается сохранность носителей ПД;
7.1.8. обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
7.1.9. обеспечиваются пропускной режим и управление доступом к персональным данным, техническим средствам, используемым при обработке персональных данных, средствам защиты информации, средствам обеспечения функционирования информационных систем;
7.1.10. обеспечивается автоматическая регистрация событий безопасности, связанных с изменением прав доступа к персональным данным;
7.1.11. реализуются меры, направленные на предупреждение и обнаружение фактов несанкционированного доступа к ПД, и принятие мер, в том числе мер по предупреждению, обнаружению и ликвидации последствий компьютерных атак на систему и по реагированию на компьютерные инциденты.
7.2. Каждый работник Организации несет ответственность за обеспечение конфиденциальности ПД, ставших ему известными в связи с выполнением своих должностных обязанностей. В случае противоправного раскрытия (разглашения) им ПД и в полном объеме возмещает Организации причиненный ущерб.
7.3. Работник несет персональную ответственность за соблюдение требований по обработке и обеспечению безопасности ПД, установленных локальными нормативными актами Организации.