Политика в области обработки и обеспечения безопасности персональных данных
Дата последнего обновления: 02.05.2023
1. Общие положения
1.1 Настоящая Политика в области обработки и обеспечения безопасности персональных данных (далее – Политика) разработана Обществом с ограниченной ответственностью «АРТ Логистик» (далее по тексту именуемому «Компания») на основании ст.18.1 Федерального закона №152-ФЗ «О персональных данных», с учетом требований Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, регулирующих вопросы обработки персональных данных.
1.2 Настоящая Политика определяет основные принципы, цели и правила обработки персональных данных в Компании, категории субъектов персональных данных, обрабатываемых Компанией, права субъектов персональных данных, а также меры, применяемые Компанией в целях обеспечения безопасности персональных данных при их обработке.
1.3 Политика направлена на обеспечение прав и свобод человека и гражданина при обработке Компанией его персональных данных, а также на достижение высокого уровня безопасности обработки персональных данных.
1.4 Действия Политики распространяются на все осуществляемые Компанией и связанные с обработкой персональных данных процессы, как с использованием средств автоматизации, в том числе в сети Интернет, так и без использования таких средств. К таким процессам в том числе относятся сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
1.5 Настоящая Политика является основополагающим документом Компании в области обработки и обеспечения безопасности персональных данных. Положения Политики служат основой для разработки локальных нормативных актов и иных документов, регламентирующих в Компании вопросы обработки персональных данных работников Компании и других субъектов персональных данных.
2. Термины и определения
Персональные данные - любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Иные термины и определения, встречающиеся в настоящей Политике, подлежат толкованию в соответствии с положениями Закона о персональных данных.
3. Правовое основание обработки персональных данных
Обработка персональных данных осуществляется на основе следующих федеральных законов и нормативно-правовых актов:
- Конституции Российской Федерации;
- Трудового кодекса Российской Федерации;
- Гражданского кодекса Российской Федерации;
- Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
- Федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ;
- Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утверждено постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687);
- Постановления от 1 ноября 2012 г. N 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных;
- Приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- иных нормативных правовых актов Российской Федерации и нормативных документов уполномоченных органов государственной власти.
4. Принципы обработки персональных данных
4.1 Обработка персональных данных в Компании основана на следующих принципах:
- обработка персональных данных осуществляется только на законной и справедливой основе, в соответствии с полномочиями Компании, и ограничивается достижением конкретных, заранее определенных и законных целей;
- обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных соответствуют заранее определенным и заявленным при сборе целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
- при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Компанией принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством;
- соблюдение конфиденциальности и безопасности обрабатываемых персональных данных: персональные данные не распространяются и не раскрываются третьим лицам без согласия субъектов персональных данных, если иное не предусмотрено действующим законодательством РФ;
- при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", Компания обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в №152-ФЗ «О персональных данных»;
- обрабатываемые персональные данные подлежат уничтожению либо обезличиванию в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных, по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством Российской Федерации.
4.2 Вышеуказанные принципы применяются ко всем видам обработки персональных данных как к автоматизированной обработке, так и к обработке без использования средств автоматизации.
4.3 К обработке персональных данных допускаются сотрудники Компании, ознакомленные с положениями законодательства Российской Федерации о персональных данных, а также внутренними документами Компании, регламентирующими вопросы обработки и защиты персональных данных.
5. Цели обработки персональных данных
Персональные данные обрабатываются в Компании в целях:
- обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Компании;
- осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Компанию, в том числе по предоставлению персональных данных в налоговые органы, в Социальный фонд России, в Федеральный фонд обязательного медицинского страхования, а также в иные органы государственной власти и местного самоуправления;
- надлежащего выполнения обязательств перед субъектом персональных данных в рамках трудового договора или договора гражданско-правового характера;
- предоставления работникам Компании и членам их семей дополнительных гарантий и компенсаций;
- рассмотрения резюме соискателей и подбора кандидатов на вакантные должности для принятия Компанией решения о приеме либо отказе в приеме на работу, а также для формирования кадрового резерва;
- обеспечения пропускного и внутриобъектового режимов на объектах Компании;
- надлежащего выполнения обязательств перед субъектом персональных данных в рамках договоров розничной купли-продажи товаров и иных договоров и/или обязательств, которые могут быть заключены между субъектом персональных данных и Компанией;
- подготовки и заключения договоров с контрагентами (Партнерами и Заказчиками), надлежащего выполнения обязательств перед контрагентами в рамках заключенных договоров, их прекращения;
- принятия решений по обращениям субъектов персональных данных в соответствии с действующим законодательством Российской Федерации;
- выполнения требований отдельных законодательных и иных нормативных актов, устанавливающих сроки хранения документов, содержащих персональные данные;
- в иных законных целях.
6. Правила обработки персональных данных
6.1 В Компании осуществляется обработка только тех персональных данных, которые соответствуют заранее определенным и заявленным при сборе целям обработки.
6.2 Компания, являясь Оператором персональных данных, осуществляет обработку персональных данных следующих категорий субъектов:
- работников, состоящих или состоявших в трудовых отношениях с Компанией;
- родственников работников Компании (супругов и близких родственников);
- соискателей на замещение вакантных должностей;
- физических лиц, заключивших и/намеренных заключить с Компанией договор гражданско-правового характера;
- лиц, проходящих различного рода обучение и практику (стажировку) в Компании;
- гостей и посетителей Компании;
- контрагентов Компании, представленных индивидуальными предпринимателями, их работниками; учредителями, руководителями, представителями (лицами, действующими на основании доверенностей) и работниками юридических лиц, имеющих или имевших договорные отношения с Компанией, либо намеренных заключить договоры с Компанией;
- физических лиц, обратившихся в Компанию в порядке, установленном Федеральным законом.
6.3 Компания обрабатывает персональные данные клиентов заказчиков по поручению заказчиков, являющихся операторами персональных данных, на основании заключаемых договоров об оказании услуг (выполнении работ). Обрабатывая персональные данные по поручению оператора, Компания соблюдает принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и настоящей Политикой.
6.4 Состав персональных данных каждой из перечисленных в п.п. 6.2 – 6.3 категории субъектов определяется согласно нормативным документам, перечисленным в разделе 3 настоящей Политики, а также нормативным документам Компании, разработанными для обеспечения их исполнения.
6.5 В случаях, предусмотренных действующим законодательством Российской Федерации, субъект персональных данных принимает решение о предоставлении его персональных данных Оператору и дает согласие на их обработку свободно, своей волей и в своём интересе.
6.6 В Компании НЕ допускается обработка следующих категорий персональных данных:
- расовая принадлежность;
- политические взгляды;
- философские убеждения;
- состояние интимной жизни;
- национальная принадлежность;
- религиозные убеждения;
- членство работников Компании в общественных объединениях или профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом РФ или иными федеральными законами.
6.7 Передача персональных данных третьим лицам осуществляется Компанией с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
6.8 Компания осуществляет трансграничную передачу персональных данных клиентов своих заказчиков, клиентов Компании и работников Компании на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, только при наличии письменного согласия указанных субъектов персональных данных на трансграничную передачу.
6.9 Сроки обработки и хранения персональных данных определяются в соответствии со сроком действия договора с субъектом персональных данных, сроком исковой давности, сроками обязательного хранения документов, иными требованиями законодательных и нормативных актов, а также сроком предоставленного субъектом согласия на обработку персональных данных, в случаях, когда такое согласие должно быть предоставлено в соответствии с требованиями законодательства, или до а) отзыва ранее данного согласия на обработку персональных данных; б) заявления субъектом персональных данных или его законным представителем требования о прекращении обработки персональных данных; в) заявления субъектом персональных данных или его законным представителем требования об удалении персональных данных.
7. Права субъектов персональных данных
7.1 Права субъекта персональных данных регулируются действующим законодательством и, в частности, определяются статьями 14 - 17 Федерального закона от 27.06.2006 г. № 152-ФЗ «О персональных данных».
7.2 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных;
- правовые основания обработки персональных данных;
- цели и применяемые Компанией способы обработки персональных данных;
- наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Компанией или в соответствии с законодательством Российской Федерации;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством Российской Федерации;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления Компанией прав, предусмотренных законодательством Российской Федерации;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные законодательством Российской Федерации.
7.3 Субъект персональных данных вправе требовать от Компании уточнения, блокирования или уничтожения его персональных данных в случае, если они являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки
7.4 Указанные в пункте 7.2. сведения предоставляются субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
7.5 Указанные в пункте 7.2. сведения предоставляются субъекту персональных данных или его законному представителю Компанией при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Компанией, подпись субъекта персональных данных или его представителя.
7.6 Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
7.7 Если субъект персональных данных считает, что Компания осуществляет обработку его персональных данных с нарушением требований федерального законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Компании в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
7.8 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.
7.9 Субъект персональных данных имеет право отозвать своё согласие на обработку персональных данных в соответствии с условиями ранее данного согласия.
7.10 Для реализации указанных выше прав и защиты законных интересов субъект персональных данных имеет право обратиться к Компании, направив письменное уведомление лично или с помощью представителя по адресу Компании: 150029, Россия, г. Ярославль, ул. Декабристов, 3.
7.11 Компания рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке. Порядок и сроки реагирования на запросы / обращения субъектов персональных данных определены Федеральным законом № 152-ФЗ «О персональных данных» и внутренними документами Компании.
7.12 Субъект персональных данных обязан предоставлять только достоверные и полные персональные данные, которые при необходимости должны быть документально подтверждены. Компания не несет ответственности за недостоверную / утратившую силу информацию, предоставленную субъектом персональных данных.
8. Меры по защите персональных данных
8.1 Компанией предпринимаются правовые, технические и организационные меры к защите персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
- назначение уполномоченного сотрудника, ответственного за организацию обработки и обеспечения безопасности персональных данных;
- разработка и внедрение локальных нормативных актов, регламентирующих в Компании обязанности должностных лиц, осуществляющих обработку и защиту персональных данных, их ответственность за компрометацию персональных данных;
- получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
- организация режима обеспечения безопасности помещений, в которых размещены информационные системы, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- утверждение перечня лиц, осуществляющих в Компании обработку персональных данных либо имеющих к ним доступ;
- получение обязательств о неразглашении сведений конфиденциального характера, в том числе персональных данных, всех работников Компании, непосредственно участвующих в обработке персональных данных;
- осуществление внутреннего контроля за принимаемыми мерами по обеспечению безопасности персональных данных;
- проведение оценки вреда, который может быть причинён субъектам персональных данных в случае нарушения их персональных данных, а также определение актуальных угроз безопасности персональным данным при их обработке в информационных системах персональных данных.
- иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.
- Компания осознает важность и необходимость обеспечения безопасности персональных данных и способствует постоянному совершенствованию системы защиты персональных данных, обрабатываемых в рамках выполнения основной деятельности Компании.
9. Изменение настоящей Политики
- Общедоступность Политики обеспечивается публикацией на сайте Компании (https://artlogistik.ru).
- Компания имеет право вносить изменения в Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента её размещения на сайте.