РЕГЛАМЕНТ в отношении обработки и защиты персональных данных в ООО «Эксклюзив»

Общие положения

1.1. Настоящий Регламент о защите персональных данных в ООО «Эксклюзив» (далее – Компания) разработан в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Настоящий Регламент неукоснительно исполняется руководителями и работниками всех структурных подразделений и филиалов Компании.

Действие Регламента распространяется на все персональные данные субъектов, обрабатываемые в Компании с применением и без применения средств автоматизации.

Действие Регламента распространяется на все ресурсы Компании, в том числе сайт Компании https://lookme-studio.ru/, карточки Компании на сторонних сайтах, каталогах и прочее.

1.2. Основными целями данного Регламента являются: обеспечение защиты прав и свобод гражданина при обработке его персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну от несанкционированного доступа, соблюдение федерального законодательства о персональных данных, создание нормативной базы для регулирования отношений, связанных с процессами обработки персональных данных указанными Компанией.

1.3. Упорядочение обращения с персональными данными имеет целью обеспечить соблюдение законных прав и интересов Компании и физических лиц в связи с необходимостью получения (сбора), систематизации (комбинирования), хранения и передачи сведений, составляющих персональные данные.

Основные понятия. Состав персональных данных

2.1. Для целей настоящего Регламента используются следующие основные понятия:

Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);

Обработка персональных данных клиента — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);

Распространение персональных данных — действия, направленные на раскрытие персональных данных клиента неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);

Предоставление персональных данных — действия, направленные на раскрытие персональных данных клиента определенному лицу или определенному кругу лиц (п. 6 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);

Блокирование персональных данных — временное прекращение обработки персональных данных клиентов (за исключением случаев, если обработка необходима для уточнения персональных данных) (п. 7 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных клиента и (или) в результате которых уничтожаются материальные носители персональных данных клиентов (п. 8 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному лицу (п. 9 ст. 3 Федерального закона от 27.07.2006 N 152- ФЗ);

Информация — сведения (сообщения, данные) независимо от формы их представления;

Документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

2.2. Настоящим Регламентом определяется порядок обращения с персональными данными в Компании следующих лиц (далее субъектов):

-работники Компании;

-физические лица, с которыми заключены договоры гражданско-правового характера;

-потенциальные покупатели Компании;

-представители юридических лиц Клиентов Компании;

-индивидуальные предприниматели — Клиенты;

-иные зарегистрированные пользователи сайта Компании.

Обработка персональных данных

3.1. Источником информации персональных данных является непосредственно субъект персональных данных. Если персональные данные возможно получить только у третьей стороны, то Компания должна быть заранее в письменной форме уведомлена об этом.

3.2. При обработке персональных данных Компания придерживается следующих принципов:

-законности и справедливой основы;

-ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;

-недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;

-недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

-обработки персональных данных, которые не отвечают целям их обработки;

3.3. Компания обрабатывает персональные данные субъектов только при наличии хотя бы одного из следующих условий:

-обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

-обработка персональных данных субъекта необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

-обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

-обработка персональных данных субъекта необходима для осуществления прав и законных интересов Компании или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

-осуществляется обработка персональных данных субъекта, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

-осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

3.4. Компания не имеет права получать и обрабатывать персональные данные о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ Компания вправе получать и обрабатывать данные о частной жизни клиента только с его письменного согласия.

3.5. Компания вправе обрабатывать персональные данные субъектов только с их письменного согласия. Письменное согласие субъекта может быть выражено посредством заполнения и принятия формы на сайте Компании.

3.6. Письменное согласие субъекта на обработку персональных данных должно включать в себя:

-фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

-наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

-цель обработки персональных данных;

-перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

3.7. Согласие субъекта на обработку персональных данных не требуется в следующих случаях:

-обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия Компании;

-обработка персональных данных в целях исполнения договора;

-обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

-обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов клиента, если получение его согласия невозможно.

3.8. Компания вправе поручить обработку персональных данных субъектов третьим лицам, на основании заключаемого с этими лицами договора.

3.9. Лица, осуществляющие обработку персональных данных по поручению Компании, обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных». Для каждого лица определены перечень действий (операций) с персональными данными, которые будут совершаться юридическим лицом, осуществляющим обработку персональных данных, цели обработки, установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных.

3.10. Субъект представляет Компании достоверную информацию о себе и является совершеннолетним.

3.11. В соответствии со ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина руководитель Компании и его законные, полномочные представители при обработке персональных данных должны выполнять следующие общие требования:

3.11.1. Обработка персональных данных субъектов может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

3.11.2. При определении объема и содержания обрабатываемых персональных данных Компания должна руководствоваться Конституцией РФ и иными федеральными законами.

3.11.3. При принятии решений, затрагивающих интересы субъекта персональных данных, Компания не имеет права основываться на персональных данных, полученных о нем исключительно в результате их автоматизированной обработки или электронного получения.

3.11.4. Защита персональных данных субъекта от неправомерного их использования, утраты обеспечивается Компанией за счет ее средств в порядке, установленном федеральным законом.

3.11.5. Во всех случаях отказ субъекта персональных данных от своих прав на сохранение и защиту тайны недействителен.

3.12 Целью обработки персональных данных является оказание услуг размещенных на сайте https://lookme-studio.ru/ потенциальным клиентам и пользователям сайта.

3.13. Перечень персональных данных собираемый на сайте — Имя и контактный телефон. Данные относятся к общей категории данных.

Передача персональных данных

4.1. При передаче персональных данных субъектов Компания должна соблюдать следующие требования:

4.1.1. Не сообщать персональные данные третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральным законом.

4.1.2. Не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия. Обработка персональных данных субъекта в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.

4.1.3. Предупредить лиц, получивших персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные субъекта, обязаны соблюдать режим секретности (конфиденциальности). Данный Регламент не распространяется на обмен персональными данными субъектов в порядке, установленном федеральными законами.

4.1.4. Осуществлять передачу персональных данных субъектов в пределах Компании в соответствии с настоящим Регламентом.

4.1.5. Разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.

4.1.6. Не запрашивать информацию о состоянии здоровья субъектов, за исключением тех сведений, которые относятся к вопросу о возможности выполнения субъектом своих обязанностей.

4.1.7. Передавать персональные данные субъекта его законным, полномочным представителям в порядке, установленном законом и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.

4.2. Персональные данные субъектов обрабатываются и хранятся по адресу местонахождения Компании.

4.3. Персональные данные субъекта могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).

4.4 Действия осуществляемые с персональными данными могут включать в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 ФЗ «О персональных данных»). Способы обработки данных могут быть как автоматизированными, так и не автоматизированными.

Доступ к персональным данным субъектов, условия хранения персональных данных

5.1. Право доступа к персональным данным клиентов имеют:

-руководитель Компании;

-работники отдела кадров;

-работники бухгалтерии;

-начальник отдела экономической безопасности (информация о фактическом месте проживания и контактные телефоны клиентов);

-начальник отдела внутреннего контроля (доступ к персональным данным в ходе плановых проверок);

-руководители структурных подразделений по направлению деятельности.

5.2.Хранение персональных данных субъектов осуществляется на электронных, а так же при необходимости на бумажных носителях.

5.3. Документы персонального характера хранятся в сейфах подразделений, ответственных за ведение и хранение таких документов.

5.4. Помещения, в которых хранятся персональные данные субъектов, оборудуются запирающими устройствами. Доступ к ЭВМ, на которых осуществляется обработка персональных данных, находится под защитой паролей.

5.5 Хранение персональных данных происходит от первичного обращения до окончания функционирования ООО «Эксклюзив».

5.6. Субъект персональных данных имеет право:

5.6.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные.

5.6.2. Требовать от Компании уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для Компании персональных данных.

5.6.3. Получать от Компании:

-сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

-перечень обрабатываемых персональных данных и источник их получения;

-сроки обработки персональных данных, в том числе сроки их хранения;

-сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

5.6.4. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Компании при обработке и защите его персональных данных.

5.6.5. Копировать и делать выписки персональных данных субъекта разрешается исключительно в служебных целях с письменного разрешения руководителя Компании.

5.7. Уничтожение персональных данных собранных и хранимых автоматизированным способом происходит путем стирания из базы данных и форматирования носителя. Уничтожение персональных данных собранных и хранимых не автоматизированным способом происходит путем сожжения, дробления (измельчения).

5.8.  Уничтожение ПД производится в случае:

-предоставления пользователем сведений, подтверждающих, что ПД являются незаконно полученными или не являются необходимыми для заявленной цели обработки — в течение 7 рабочих дней со дня представления таких сведений (ч. 1 ст. 14, ч. 3 ст. 20 Закона N 152-ФЗ);

-выявления неправомерной обработки персональных данных — в течение 10 рабочих дней (ч. 3 ст. 21 Закона N 152-ФЗ);

-отзыва персональных данных Пользователем — в течение 30 дней (ч. 5 ст. 21 Закона N 152-ФЗ;

5.9 Для отзывы персональной информации пользователь может обратиться письменно по адресу Санкт-Петербург, Ленинский проспект, 122.

Ответственность за нарушение норм, регулирующих обработку персональных данных

6.1. Работники Компании, виновные в нарушении порядка обращения с персональными данными, несут ответственность в соответствии с действующим законодательством Российской Федерации.

6.2. Руководитель Компании за нарушение порядка обращения с персональными данными несет административную ответственность согласно ст. ст. 5.27 и 5.39 КоАП РФ.

Заключительные положения

7.1. Настоящий Регламент является общедоступным документом, с содержанием которого вправе ознакомиться все субъекты, определенные п. 2.2. настоящего Регламента.

7.2. Неотъемлемой частью настоящего Регламента являются:

образец заполнения согласия субъекта на обработку персональных данных;

текст Федерального закона «О персональных данных» № 152-ФЗ (в действующей редакции).

7.3. Подписываясь в ознакомлении настоящего Регламента, субъекты обязуются соблюдать требования и условия, содержащиеся в настоящем Регламенте, а так же обязуются не использовать полученную в рамках выполнения своей трудовой функции персональные данные других субъектов в целях, не предусмотренных настоящим Регламентом.

7.4. Изменения и дополнения к настоящему Регламенту, не противоречащие Регламенту и действующему законодательству, могут быть приняты по инициативе единоличного исполнительного органа Компании. Содержание изменений и дополнений к настоящему Регламенту должны быть оформлены в письменном виде.

7.5. Получить разъяснения по интересующим Вас вопросам обработки Ваших персональных данных, обратившись лично в Компанию, либо направив официальный запрос по почте по адресу: 194358, г. Санкт-Петербург, ул. Есенина, д. 32, корп. 1 литер А, помещ. 58-Н, офис 1

В случае направления официального запроса в Компанию в тексте запроса необходимо указать:

-ФИО;

-номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

-сведения, подтверждающие Ваше участие в отношениях с Компанией либо сведения, иным способом подтверждающие факт обработки персональных данных Компанией;

-подпись гражданина (или его законного представителя). Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством РФ.

7.6. На сайте https://lookme-studio.ru/ публикуется актуальная версия Регламента по обработке персональных данных в Компании.

7.7. Сведения о реализуемых требованиях к защите персональных данных в Компании при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

К таким мерам в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» относятся:

-определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

-применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

-применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

-оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

-обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;

-восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

-установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

-контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;

-учет машинных носителей персональных данных;

-организация пропускного режима на территорию Общества;

-размещение технических средств обработки персональных данных в пределах охраняемой территории;

-поддержание технических средств охраны, сигнализации в постоянной готовности;

-проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных

В целях координации действий по обеспечению безопасности персональных данных в Компании назначены лица, ответственные за обеспечение безопасности персональных данных.