Политика Безопасности ПД
ПОЛОЖЕНИЕ
по обработке
персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ.
1.1. Настоящее Положение по обработке персональных данных
(далее – Положение) разработано и применяется в ООО «Фотокадр» (далее – Оператор)
в соответствии с пп. 2 ч. 1 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ «О персональных
данных» (далее по тексту – ФЗ «О персональных данных»).
1.2. Настоящее Положение определяет политику Оператора
в работе с персональными данными (ПД) физических лиц, предоставивших свои ПД
для обработки Оператору (далее – субъекты ПД) с использованием и без
использования средств автоматизации, устанавливает процедуры, направленные на
предотвращение нарушений законодательства Российской Федерации, устранение
последствий таких нарушений, связанных с обработкой ПД.
1.3. Положение разработано с целью обеспечения защиты прав и
свобод субъектов ПД при обработке их ПД, а также с целью установления
ответственности должностных лиц Оператора, имеющих доступ к ПД субъектов
персональных данных, за невыполнение требований и норм, регулирующих обработку этих
данных.
1.4. Действие настоящего Положения не распространяется на
отношения:
·возникающие при обработке ПД сотрудников Оператора,
поскольку такие отношения урегулированы внутренними документами, на которые не распространяется Закон о ПД (п.2 ст.1 Закона).
1.5. Персональные данные Субъекта ПД – это любая информация,
относящаяся к прямо или косвенно определенному или определяемому физическому
лицу.
1.6. Оператор осуществляет обработку следующих ПД:
- Фамилия, Имя, Отчество;
- Адрес электронной почты;
- Номер телефона;
- Дата рождения;
- Данные аккаунтов социальных сетей;
- Сведения об используемом браузере;
- Местоположение;
- IP-адрес;
- Фотографии;
- Данные файлов cookie;
- Запрашиваемые Интернет-страницы;
- Адрес доставки продукции.
Лицу, непреднамеренно получившему иные ПД, не указанные в настоящем
пункте, следует их уничтожить.
1.7. Оператор осуществляет обработку ПД Субъектов ПД в
следующих целях:
регистрации и (или) авторизации Субъекта ПД на сайте
Оператора по адресу: https://comefoto.ru;
обработки заказов Субъекта ПД и выполнения перед ним своих
обязательств;
информирования Субъекта ПД об акциях, специальных
предложениях, о новых товарах и услугах;
в иных целях, если соответствующие действия Оператора не
противоречат действующему законодательству, деятельности Оператора, и на
проведение указанной обработки получено согласие Субъекта ПД;
1.8. Оператор осуществляет обработку ПД посетителей Сайта
посредством совершения любого действия (операции) или совокупности действий
(операций), совершаемых с использованием
средств автоматизации или без использования таких средств, включая
следующие:
сбор, запись, систематизацию, накопление, хранение, уточнение
(обновление, изменение), извлечение,
использование, передачу (распространение, предоставление,
доступ), обезличивание, блокирование,
удаление, уничтожение.
2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
2.1. При обработке персональных данных (ПД) Оператор руководствуется следующими
принципами:
·законности и справедливости;
·своевременности и достоверности получения согласия субъекта
ПД на обработку этих данных;
·обработки только ПД, отвечающих целям их обработки;
·соответствия содержания и объема обрабатываемых ПД
заявленным целям обработки. Обрабатываемые ПД не должны быть избыточными по
отношению к заявленным целям их обработки;
·недопустимости объединения баз данных, содержащих ПД,
обработка которых осуществляется в целях, несовместимых между собой;
·обеспечения точности ПД, их достаточности, а в необходимых
случаях и актуальности по отношению к целям обработки ПД. Оператор принимает
необходимые меры либо обеспечивает их принятие по удалению или уточнению
неполных или неточных данных;
·хранения ПД в форме, позволяющей определить субъекта ПД, не
дольше, чем этого требуют цели обработки ПД;
·обеспечения точности, достаточности и актуальности ПД по
отношению к целям обработки ПД;
·уничтожения либо обезличивания ПД по достижению целей, их
обработки или в случае утраты необходимости в достижении этих целей.
2.2. Обработка ПД Оператором осуществляется с соблюдением
принципов и правил, предусмотренных:
· Федеральным законом от 27.07.2006 №152-ФЗ «О персональных
данных»;
· Настоящим Положением;
·ст.12 Всеобщей Декларацией прав человека 1948 года;
·ст.17 Международного пакта о гражданских и политических
правах 1966 года;
·ст.8 Европейской конвенции о защите прав человека и
основных свобод 1950 года;
·Положениями Конвенции Содружества Независимых Государств о
правах и основных свободах человека (Минск, 1995 г.), ратифицированной РФ
11.08. 1998 года;
·Положениями Окинавской Хартии глобального информационного
общества, принятой 22.07.2000 года;
·2.3. Обработка персональных данных Оператором
осуществляется в соответствии с:
· Постановлением Правительства РФ от 01.11.2012г. № 1119 «Об
утверждении требований к защите ПД при их обработке в информационных системах
персональных данных»;
·Приказом ФСТЭК России от 18.02.2013г. № 21 «Об утверждении
Состава и содержания организационных и технических мер по обеспечению
безопасности ПД при их обработке
в информационных системах ПД»;
·Положением о методах и способах защиты информации в
информационных системах ПД, утвержденным Приказом ФСТЭК РФ от 05.02.2010 г. №
58, регистрационный № 16456;
·Иными нормативными и ненормативными правовыми актами,
регулирующими вопросы обработки ПД.
3. ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.
3.1. Персональные данные субъектов ПД получаются Оператором:
·путем личной передачи субъектом ПД при внесении данных на
сайте https://comefoto.ru;
·иными способами, не противоречащими законодательству РФ и
требованиям международного законодательства о защите ПД.
3.2. Оператор получает и начинает обработку ПД Субъекта с
момента получения его согласия.
Согласие на обработку ПД может быть дано Субъектом ПД в
любой форме, позволяющей подтвердить факт получения согласия, если иное не
установлено Федеральным Законом:
в письменной, устной или иной форме, предусмотренной
действующим законодательством, в том числе, посредством совершения субъектом ПД
конклюдентных действий.
3.3. Согласие на обработку ПД считается предоставленным
Субъектом ПД посредством совершения Субъектом ПД следующих конклюдентных
действий в совокупности: проставление в соответствующей форме отметки о
согласии на обработку ПД в объеме, для целей и в порядке, предусмотренных в
предлагаемом перед осуществлением регистрации для ознакомления тексте (текст
согласия - Приложение № 2 к настоящему Положению).
Согласие считается полученным с момента такой регистрации
при условии ее подтверждения Субъектом ПД в установленном порядке и действует
до момента направления Субъектом ПД соответствующего заявления о прекращении
обработки ПД по месту нахождения Оператора.
В случае отсутствия согласия Субъекта ПД на обработку его
ПД, такая обработка не осуществляется.
3.4. Получение Оператором ПД от иных лиц, а равно передача
поручения по обработке ПД осуществляется на основании договора, содержащего
условия о порядке обработки и сохранения конфиденциальности полученных ПД.
3.5. Субъект ПД может в любой момент отозвать свое согласие
на обработку ПД при условии, что подобная процедура не нарушает требований
законодательства РФ. В случае отзыва Субъектом ПД согласия на обработку ПД,
Оператор вправе продолжить обработку ПД без согласия Субъекта только при
наличии оснований, указанных в Федеральном законе «О персональных данных».
3.6. Порядок отзыва согласия на обработку ПД:
- для отзыва согласия на обработку ПД, данного в письменной
форме, необходимо подать соответствующее заявление в письменной форме по месту
нахождения Оператора.
3.7. В случае отзыва Субъектом ПД согласия на обработку его
ПД, Оператор должен прекратить их обработку или обеспечить прекращение такой
обработки (если обработка осуществляется другим лицом, действующим по поручению
Оператора). Если сохранение ПД более не требуется для целей их обработки,
Оператор должен уничтожить эти данные или обеспечить их уничтожение (если
обработка ПД осуществляется другим лицом, действующим по поручению Оператора) в
срок, не превышающий 30 (Тридцати) дней с даты поступления указанного отзыва,
если иное не предусмотрено договором, стороной которого, выгодоприобретателем
или поручителем по которому является Субъект ПД, иным соглашением между
Оператором и Субъектом ПД, либо если Оператор не вправе осуществлять обработку
ПД без согласия Субъекта ПД на основаниях, предусмотренных ФЗ «О персональных данных» или другими
федеральными законами.
4. ПРАВИЛА И ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
4.1. Оператор до начала обработки ПД назначает
ответственного за организацию обработки ПД. Ответственный вправе
подписывать и направлять уведомление в
Уполномоченный Орган по защите прав субъектов ПД о намерении Оператора
обрабатывать ПД.
4.2. Сотрудники Оператора, непосредственно осуществляющие
обработку ПД, должны быть ознакомлены до начала работы:
·с положениями законодательства Российской Федерации о ПД, в
том числе с требованиями к порядку защиты ПД;
·с документами, определяющими политику Оператора в отношении
обработки ПД, в том числе, с настоящим Положением, приложениями и изменениями к
нему;
·с локальными актами по вопросам обработки ПД.
Обучение работников организуется в соответствии с
утвержденными Оператором графиками.
Сотрудники Оператора имеют право получать только те ПД,
которые необходимы им для выполнения конкретных должностных обязанностей.
Сотрудники Оператора, осуществляющие обработку ПД, должны быть проинформированы
о факте такой обработки, об особенностях и правилах такой обработки,
установленных нормативно-правовыми актами и внутренними документами Оператора.
4.3. При обработке ПД Оператор применяет правовые,
организационные и технические меры по обеспечению безопасности ПД в
соответствии со ст. 19 ФЗ «О персональных данных», Положением об обеспечении
безопасности ПД при их обработке в информационных системах ПД, утвержденным
Постановлением Правительства РФ от 17.11.2007 г. № 781, Методикой определения
актуальных угроз безопасности ПД при их обработке в информационных системах ПД,
утвержденной ФСТЭК РФ 14.02.2008 г., Рекомендациями по заполнению образца формы
уведомления об обработке (о намерении осуществлять обработку) ПД, утвержденными
Приказом Роскомнадзора от 19.08.2011 г. № 706, Методическими рекомендациями по
обеспечению с помощью криптосредств безопасности ПД при их обработке в
информационных системах ПД с использованием средств автоматизации, утвержденных
ФСБ РФ 21.02.2008 г. № 149/54-144.
4.4. Режим конфиденциальности ПД Оператор обеспечивает в
соответствии с Соглашением о конфиденциальности.
4.5. Контроль за соблюдением сотрудниками Оператора
требований законодательства РФ и норм международного законодательства, а также
положений локальных нормативных актов Оператора организован Оператором в
соответствии с Политикой об обработке ПД.
4.6. Оценка вреда, который может быть причинен Субъектам ПД
в случае нарушения Оператором требований Закона об обработке ПД, определяется в
соответствии со ст. ст. 15, 151, 152, 1101 Гражданского кодекса РФ.
4.7. Опубликование или обеспечение иным образом
неограниченного доступа к настоящей Политике, иным документам, определяющим
политику Оператора в отношении обработки ПД, к сведениям о реализуемых требованиях
к защите ПД Оператор осуществляет посредством размещения на электронном сайте,
принадлежащем Оператору.
4.8. Доступ к ПД Субъектов имеют сотрудники Оператора,
которым ПД необходимы в связи с исполнением ими трудовых обязанностей. Перечень
сотрудников, имеющих доступ к ПД, станавливается локальным нормативным актом
Оператора.
4.9. Оператору необходимо обосновать передачу (если таковая
состоится) полномочий по обработке ПД
третьим лицам, не являющимся его сотрудниками, заключенными договорами (либо
иными основаниями), в силу которых они должны иметь доступ к ПД пользователей
Сайта. Соответствующие данные предоставляются Оператором только после
подписания с лицами, осуществляющими обработку ПД по поручению Оператора,
соглашения, в котором должны быть определены перечень действий (операций) с ПД,
которые будут совершаться лицом, обрабатывающим их, цели обработки. Должна быть
установлена обязанность такого лица соблюдать конфиденциальность ПД и
обеспечивать безопасность ПД при их обработке, а также должны быть указаны
требования к защите обрабатываемых ПД в соответствии со статьей 19 ФЗ «О
персональных данных».
4.10. Контроль исполнения сотрудниками Оператора требований
законодательства РФ и положений локальных нормативных актов Оператора в сфере
ПД осуществляет исполнительный орган Оператора.
5. ПОРЯДОК ОБЕСПЕЧЕНИЯ ОПЕРАТОРОМ ПРАВ СУБЪЕКТА ПД.
5.1. Субъекты ПД или их представители обладают правами,
предусмотренными Федеральным законом «О персональных данных» и другими
нормативно-правовыми актами, регламентирующими обработку ПД.
5.2. Оператор обеспечивает права Субъектов ПД в порядке,
установленном Федеральным законом «О персональных данных».
5.3. Полномочия представителя на представление интересов
каждого Субъекта ПД подтверждаются доверенностью, оформленной в установленном
законодательством порядке. Копия доверенности представителя хранится Оператором
не менее 3 (Трех) лет, а в случае, если срок хранения ПД больше трех лет, - не
менее срока хранения ПД.
5.4. Сведения,
указанные в ч. 7 ст. 14 ФЗ «О персональных данных», предоставляются Субъекту ПД
Службой ОПД в доступной форме без ПД, относящихся к другим Субъектам ПД, за
исключением случаев, если имеются законные основания для раскрытия таких ПД в
электронном виде. По требованию Субъекта ПД они могут быть продублированы на
бумаге.
5.5. Сведения, указанные в ч. 7 ст. 14 ФЗ «О персональных
данных», предоставляются Субъекту ПД или его представителю при личном обращении
либо при получении Оператором соответствующего запроса Субъекта ПД или его
представителя. Запрос должен содержать: номер основного документа, удостоверяющего
личность Субъекта ПД или его представителя, сведения о дате выдачи указанного
документа и выдавшем его органе, сведения, подтверждающие участие Субъекта ПД в
отношениях с Оператором (номер договора, дата заключения договора, условное
словесное обозначение и (или) иные сведения), либо сведения, иным образом
подтверждающие факт обработки ПД Оператором, подпись Субъекта ПД или его
представителя. При наличии технической возможности запрос может быть направлен
в форме электронного документа и подписан электронной подписью в соответствии с
Законодательством Российской Федерации.
5.6. Право Субъекта ПД на доступ к его ПД может быть
ограничено в соответствии с ФЗ, в том числе на основании ч. 8 ст. 14 ФЗ «О
персональных данных».
5.7. Оператор обязан немедленно прекратить по требованию
Субъекта ПД обработку его ПД, осуществляемую на основании ч. 1 ст. 15
Федерального закона «О ПД».
5.8. Решение, влекущее юридические последствия в отношении
Субъекта ПД или иным образом затрагивающее его права и законные интересы, может
быть принято на основании исключительно автоматизированной обработки его ПД
только при наличии согласия в письменной форме Субъекта ПД или в случаях,
предусмотренных ФЗ, устанавливающими также меры по обеспечению соблюдения прав
и законных интересов Субъекта ПД.
5.9. Оператор обязан разъяснить Субъекту ПД порядок принятия
решения на основании исключительно автоматизированной обработки его ПД и
возможные юридические последствия такого решения, предоставить возможность
заявить возражение против такого решения, а также разъяснить порядок защиты
Субъектом ПД своих прав и законных интересов.
10. Оператор обязан рассмотреть возражение относительно
решения, вынесенного на основании исключительно автоматизированной обработки
ПД, в течение 30 (Тридцати) дней со ня получения возражения.
Оператор уведомляет Субъекта ПД о результатах рассмотрения
возражения в течение 10 (Десяти) дней. Уведомление может быть осуществлено
Оператором в любой доступно форме,позволяющей подтвердить факт уведомления Субъекта ПД
(посредством электронной почты, посредством web-ресурса, предоставляющего
субъекту ПД личное web-пространство на
Сайте или на интернет-сайтах компаний-партнеров, телеграфным сообщением с
уведомлением о вручении или почтовым сообщением с уведомлением о вручении).
Выбор способа направления уведомлений остается за Оператором.
5.11. Оператор обязан предоставить безвозмездно Субъекту ПД
или его представителю возможность ознакомления с ПД, относящимися к этому
Субъекту ПД, по месту своего расположения в рабочее время.
5.12. Оператор в течение 5 дней с момента исправления или
уничтожения ПД по требованию Субъекта ПД или его представителя обязан уведомить
его о внесенных изменениях и предпринятых мерах и принять разумные меры для
уведомления третьих лиц, которым ПД этого Субъекта были переданы. Уведомление
может быть осуществлено Оператором в любой доступной форме, позволяющей
подтвердить факт уведомления Субъекта ПД (посредством электронной почты,
телеграфным сообщением с уведомлением о вручении или почтовым сообщением с уведомлением
о вручении, иное). Выбор способа направления уведомления остается за
Оператором.
5.13. Трансграничную передачу ПД Оператор не осуществляет.
6. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.
6.1. Хранение ПД осуществляется в соответствии с письменным
согласием Субъекта ПД и в течение срока, установленного с учетом требований
действующего законодательства РФ.
В случае отсутствия в соответствующих нормативно-правовых
актах сроков хранения отдельных видов ПД, указанные ПД подлежат хранению в
течение срока, указанного в письменном согласии соответствующего Субъекта ПД.
6.2. Хранение ПД осуществляется не дольше, чем этого требуют
цели обработки ПД. Обрабатываемые ПД подлежат уничтожению либо обезличиванию по
достижении целей обработки или в случае утраты необходимости в достижении этих
целей (удаление аккаунта Субъекта ПД).
6.3. Хранение ПД, цели обработки которых различны, должно
осуществляться раздельно в рамках информационной системы или, при условии
хранения на материальных носителях, в рамках структуры дел соответствующего
подразделения Оператора.
6.4. Сотрудник Оператора, имеющий доступ к ПД в связи с
исполнением трудовых обязанностей обеспечивает хранение информации, содержащей
ПД субъектов ПД, исключающее доступ к ним третьих лиц.
6.5. Во время отсутствия сотрудника на его рабочем месте не
должны находиться документы, содержащие ПД. При уходе в отпуск, служебную
командировку и иных случаях длительного отсутствия сотрудника на рабочем месте,
он обязан передать документы и иные носители, содержащие ПД, лицу, на которое
локальным актом Оператора будет возложено исполнение его трудовых обязанностей.
В случае если такое лицо не назначено, то документы и иные носители, содержащие
ПД Субъектов ПД, передаются другому сотруднику, имеющему доступ к ПД Субъектов
ПД по указанию руководителя соответствующего структурного подразделения
Оператора.
6.6. При увольнении сотрудника, имеющего доступ к ПД,
документы и иные носители, содержащие ПД Субъектов ПД, передаются другому
сотруднику, имеющему доступ к ПД Субъектов ПД по указанию руководителя
структурного подразделения и с уведомлением лица, ответственного за обработку
ПД.
7. КОНТРОЛЬ,
ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ИЛИ НЕИСПОЛНЕНИЕ ПОЛОЖЕНИЯ.
7.1. Контроль исполнения настоящего Положения возложен на
руководителя Оператора.
7.2. Лица, нарушающие или не исполняющие требования
Положения, привлекаются к дисциплинарной, административной (ст. ст. 5.39,
13.11, 13.14 Кодекса об административных правонарушениях РФ) или уголовной
ответственности (ст. ст. 137, 272 Уголовного кодекса РФ).
7.3. Руководители структурных подразделений Оператора несут
персональную ответственность за исполнение обязанностей их подчиненными.