Политика в отношении персональных данных
1. Общие положения
1.1. Положение об обработке и защите персональных данных (далее - Положение) издано и применяется Индивидуальным предпринимателем Сибирцевым И.В., ИНН 230900679502, ОГРНИП 312230801000040 (далее – Организация) в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
Настоящее Положение определяет политику, порядок и условия Организации в отношении обработки и защиты персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой и защитой персональных данных.
Все вопросы, связанные с обработкой и защитой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
Контрагенты ИП Сибирцева И.В. при заключении договора имеют право самостоятельно ознакомиться с настоящим Положением на официальном сайте ИП Сибирцева И.В., расположенном по адресу: www.aquatehnik.com либо по устному требованию в месте нахождения Организации по следующим адресам:
г. Темрюк, ул. Мороза, 16/1,
г. Краснодар, ул. Чкалова, 167,
пос. Новая Адыгея, тургеневское шоссе, 25/1.
1.2. Целью обработки персональных данных является:
- обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
- продвижение товаров, работ, услуг Организации на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи (допускается в порядке, предусмотренном п. 3.7 настоящего Положения);
- исполнение договоров аренды, поставки, купли-продажи, оказания услуг, иных гражданско-правовых сделок, заключенных между ИП Сибирцевым И.В. и субъектами персональных данных.
1.3. Настоящее Положение применяется в отношении персональных данных, которые могут быть получены Организацией:
-от любых физических лиц, связанных с Организацией гражданско-правовыми отношениями или намеревающимися вступить с Организацией в гражданско-правовые отношения;
- от физических лиц (работников/представителей) контрагентов Организации (юридических лиц и индивидуальных предпринимателей), заключившим с Организацией договор гражданско-правового характера;
- от иных субъектов, предоставивших в соответствии с действующим законодательством Организации свои персональные данные, которые могут быть соотнесены с конкретным физическим лицом .
1.4. Действие настоящего Положения не распространяется на отношения, возникающие при:
1) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных фондов в соответствии с законодательством об архивном деле в Российской Федерации;
2) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
1.5. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и настоящим Положением.
Обработка построена Организацией с учетом принципов:
- законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Организации;
- ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- обработки только персональных данных, которые отвечают целям их обработки. Недопустима обработка персональных данных, несовместимая с целями сбора персональных данных;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Организация принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
1.6. Способы обработки персональных данных:
- с использованием средств автоматизации;
- без использования средств автоматизации.
1.7. К персональным данным контрагента, которые могут быть получены Организацией, относятся:
- фамилия, имя, отчество, число, месяц, год рождения;
- данные паспорта (серия, номер, дата выдачи, орган, выдавший паспорт, код подразделения, пол, место рождения);
- адрес регистрации и адрес места жительства;
- номер телефона;
- адрес электронной почты;
-гражданство;
- данные водительского удостоверения;
-номер расчетного счета;
-должность;
- идентификационный номер налогоплательщика (ИНН);
- регистрационный номер в реестре индивидуальных предпринимателей.
1.8. К документам, в которых содержатся персональные данные контрагентов/представителей контрагента, относятся: договоры купли-продажи (в том числе счета-оферты, счета-договоры), договоры купли-продажи недвижимого имущества, договоры аренды, договоры поставки, договоры оказания услуг, договоры залога, договоры поручительства, иные договоры гражданско-правого характера и документы, связанные с исполнением гражданско-правовых сделок и содержащие сведения, указанные в п. 1.6. настоящего Положения.
1.9. Под обработкой персональных данных понимается любое действие/совокупность действий, совершаемая с использованием средств автоматизации или без использования указанных средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение персональных данных.
1.10. В соответствии с поставленными целями и задачами Организация назначает ответственного/ответственных за организацию обработки персональных данных в информационных системах/базах данных организации (Куратор ОПД).
1.11. Куратор ОПД получает указания непосредственно от Организации и подотчетен только руководителю Организации.
1.12. Настоящее Положение и изменения к нему утверждаются приказом руководителя Организации.
Сотрудники Организации, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены под подпись с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Организации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, с данным Положением и изменениями к нему.
1.13. При обработке персональных данных Организация применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
1.14. Режим конфиденциальности персональных данных и контроль за соблюдением сотрудниками Организации требований законодательства Российской Федерации и положений локальных актов Организация обеспечивает в соответствии с Положением Организации о конфиденциальности.
1.15. Контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер. Он может проводиться структурным подразделением, ответственным за обеспечение безопасности персональных данных, или на договорной основе сторонними организациями, имеющими лицензии на деятельность по технической защите конфиденциальной информации.
1.16. Организация на основании договора может поручить обработку персональных данных третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку персональных данных, обязанность соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".
1.17. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Организацией, осуществляется в рамках законодательства Российской Федерации.
2. Обработка персональных данных и гарантии их защиты.
2.1. Организация:
1) доводит до сведения работников Организации положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
2) организует обработку персональных данных сотрудниками Организации;
3) организует прием и обработку обращений и запросов субъектов персональных данных или их представителей.
2.2. Обработку персональных контрагентов осуществляют сотрудники Организации, ответственные за заключение договора с конкретным контрагентом, администратор, а также иные сотрудники, уполномоченные на совершение действий связанных с обработкой персональных данных контрагента специальным приказом.
2.3. Контроль за исполнением сотрудниками Организации требований законодательства Российской Федерации и положений локальных нормативных актов Организации при обработке персональных данных возложен на коммерческого директора Организации.
2.4. Сотруднику Организации, имеющему право осуществлять обработку персональных данных, предоставляются уникальный логин и пароль для доступа к соответствующей информационной системе/базе данных Организации в установленном порядке. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными регламентами Организации.
Информация может вноситься как в автоматическом режиме - при уточнении, извлечении, использовании и передаче на машиночитаемом носителе информации, так и в ручном режиме - при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
2.5. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах/базах данных Организации, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:
- определение актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах Организации, необходимых для выполнения требований к защите персональных данных;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- применение для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;
- учет машинных носителей персональных данных;
- обеспечение работоспособного функционирования компьютерной техники с персональными данными в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации;
- обнаружение и регистрация фактов несанкционированного доступа к персональным данным, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных и принятие мер;
- восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационных системах Организации, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах Организации;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем.
2.5. Обеспечение безопасности персональных данных на бумажных носителях осуществляется Организацией путем назначения сотрудника, ответственного за обработку персональных данных на бумажных носителях и ограничивает допуск в помещение, в котором хранятся документы, содержащие персональные данные контрагентов.
В целях обеспечения защиты персональных данных, документы, содержащие персональные данные контрагента, оформляются и ведутся только:
- коммерческим директором;
- руководителем соответствующего отдела продаж;
- руководителем отдела снабжения;
- менеджером отдела снабжения;
- заведующим складом;
- руководителем отдела логистики;
- логистом;
- руководителем транспортного отдела;
- руководителем отдела по работе с розничными магазинами;
- директором магазина;
- офис-менеджером;
- менеджером соответствующего отдела продаж;
- администратором;
- иным сотрудником, уполномоченным специальным приказом.
При необходимости передачи документа, содержащего персональные данные контрагента на бумажном носителе между подразделениями Организации, документ должен быть упакован в непрозрачный конверт, способом, исключающим доступ к нему третьих лиц, а также обеспечена сохранность документа при его передаче.
2.6. Куратор ОПД обеспечивает:
- своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до куратора ОПД;
- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- постоянный контроль за обеспечением уровня защищенности персональных данных;
- соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
- учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
- при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;
- разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
2.7. Организация принимает все необходимые меры по восстановлению персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.
2.8. Обмен персональными данными при их обработке в информационных системах Организации осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
2.9. Доступ сотрудников Организации к персональным данным, находящимся в информационных системах Организации предусматривает обязательное прохождение процедуры идентификации и аутентификации.
2.10. В случае выявления нарушений порядка обработки персональных данных в информационных системах Организации уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.
3. Порядок обеспечения Организацией прав субъекта
персональных данных
3.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.
3.2. Организация обеспечивает права субъектов персональных данных в порядке, установленном гл. 3 и 4 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
3.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
3.4. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Согласие может быть устным или письменным.
3.5. Согласие субъекта на обработку персональных данных не требуется в следующих случаях:
- если обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке;
- обработка персональных данных необходима:
- для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
- заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
3.6. . Для письменного согласия достаточно простой письменной формы. Согласие может быть дано, в том числе путем подписания договора, содержащего условие о согласии на обработку персональных данных.
3.7. Организация обязана немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в ч. 1 ст. 15 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
4. Порядок обработки и уничтожения персональных данных.
4.1. Цель обработки персональных данных – защита персональных данных контрагентов Организации от несанкционированного доступа и разглашения.
4.2. Куратор ОПД обязан:
- организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых Организацией, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
4.3. Коммерческий директор обязан:
- осуществлять внутренний контроль за соблюдением требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
- доводить до сведения сотрудников Организации положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки ПД, требований к защите персональных данных;
- организовать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов;
- в случае нарушения требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
4.4. В соответствии с целями, задачами, условиями сотрудник организации, ответственный за заключение договора с контрагентом, осуществляет сбор персональных данных по следующим процедурам:
1) запрашивает у контрагента сведения, в порядке, предусмотренном «Положением о порядке подготовки, заключения и хранения договоров»;
2) передает полученные от контрагента сведения администратору для проверки и подготовки договора и сотруднику, ответственному за ведение карточек контрагентов в информационной системе/базе данных Организации.;
Сотрудник, ответственный за ведение карточек контрагентов, вносит в карточку контрагента в информационной системе/базе данных Организации следующие сведения:
- наименование (для индивидуальных предпринимателей – ФИО) контрагента;
- ФИО, наименование должности единоличного исполнительного органа контрагента либо ФИО, наименование должности представителя контрагента, действующего на основании доверенности;
- ИНН контрагента,
-ОГРНИП/ОГРН контрагента;
- сведения о руководителе/представителе (ФИО, должность) контрагента.
- адрес регистрации контрагента (для контрагентов-индивидуальных предпринимателей);
- сведения о расчетном счете и иные банковские реквизиты контрагента;
- номер телефона контрагента;
- адрес электронной почты контрагента.
4.5. Обновление, изменение, персональных данных осуществляются сотрудником, ответственным за ведение карточек контрагентов.
4.7. Обезличивание, блокирование, удаление, уничтожение персональных данных осуществляются по следующей процедуре:
4.7.1. Организацией ежегодно осуществляется экспертиза ценности дел (документов), содержащих персональные данные, постоянного и временного сроков хранения. По результатам экспертизы ценности документов составляются описи дел постоянного, временного (свыше 10 (десяти) лет) хранения и по личному составу (включая описи электронных документов постоянного хранения) (далее - описи дел), а также акты о выделении к уничтожению документов (дел), не подлежащих хранению (включая акты о выделении электронных документов).
4.7.2. Описи дел и акты о выделении к уничтожению документов (дел), не подлежащих хранению, рассматриваются на заседании комиссии Организации, специально созданной для уничтожения документов.
4.7.3. Документы (дела), не подлежащие хранению и включенные в данные акты, уничтожаются в присутствии й комиссии, созданной специально для уничтожения документов.
4.7.4. По окончании процедуры уничтожения структурным подразделением составляется акт об уничтожении документов, в учетных формах (номенклатурах дел, журналах) проставляется отметка об их уничтожении, пишется словами или проставляется штамп "Уничтожено. Акт (дата, N)", заверяется подписью членов специальной комиссии, или сотрудника Организации, осуществляющего учет документов, содержащих персональные данные.
4.7.5. Уничтожение выделенных документов на бумажных носителях осуществляется с помощью бумагорезательной машины путем измельчения документов на куски, гарантирующего невозможность восстановления текста.
Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
5. Обязанности руководителя и сотрудников Организации.
5.1. Руководитель Организации:
- оказывает содействие куратору ОПД в выполнении им своих обязанностей;
- организует устранение выявленных нарушений законодательства Российской Федерации, нормативных правовых актов уполномоченного федерального органа исполнительной власти, внутренних документов Организации, а также причин и условий, способствовавших совершению нарушения.
6.2. Сотрудники Организации:
- оказывают содействие куратору ОПД в выполнении им своих обязанностей;
- незамедлительно доводят до сведения своего непосредственного руководителя и куратора ОПД (в части его компетенции) сведения о предполагаемых нарушениях законодательства Российской Федерации, в том числе нормативных правовых актов уполномоченного федерального органа исполнительной власти, и внутренних документов Организации другими сотрудниками Организации или контрагентами Организации.
6. Контроль, ответственность за нарушение
или неисполнение положения
6.1. Контроль за исполнением Положения возложен на коммерческого директора.
6.2. Лица, нарушающие или не исполняющие требования Положения, привлекаются к дисциплинарной, административной (ст. ст. 5.39, 13.11 - 13.14, 19.7 Кодекса Российской Федерации об административных правонарушениях) или уголовной ответственности (ст. ст. 137, 140, 272, 272.1, 274 Уголовного кодекса Российской Федерации).
6.3. Руководители структурных подразделений Организации несут персональную ответственность за исполнение обязанностей их подчиненными.