1. Общие положения1.1. Настоящая Политика конфиденциальности (далее – «Политика») подготовлена в соответствии с п. 2 ч .1 ст. 18.1 Федерального закона Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 года (далее – «Закон») и определяет позицию Индивидуального Предпринимателя Дергачевой Яной Вадимовной (далее – «Компания») в области обработки и защиты персональных данных.
1.2. Настоящая Политика распространяется на все бизнес процессы Компании и обязательна к выполнению всеми сотрудниками Компании.
1.3. Руководитель Компании в лице Дергачевой Яны Вадимовны является лицом, ответственным за организацию обработки персональных данных и за обеспечение безопасности ПДн в информационных системах Компании (далее - Ответственный за безопасность ПДн).
2. Определения2.1. Персональные данные (далее - ПДн) - любая информация, относящаяся к прямо или косвенно, определенному или определяемому физическому лицу (далее - субъект ПДн), т.е. к такой информации, в частности, относятся: ФИО, год, месяц, дата и место рождения, адрес, сведения о семейном, социальном, имущественном положении, сведения об образовании, профессии, доходах, номер телефона, адрес электронной почты для связи, информация о кандидатах на вакантные должности, оставленная такими кандидатами при заполнение анкеты, включая информацию, содержащуюся в резюме кандидата, а также другая информация.
2.2. Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
2.3. Под безопасностью ПДн понимается защищенность ПДн от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
3. Правовые основания и цели обработки персональных данных3.1. Обработка и обеспечение безопасности Данных в Компании осуществляется в соответствии с требованиями Конституции Российской Федерации, Закона, Трудового кодекса Российской Федерации, подзаконных актов, других определяющих случаи и особенности обработки Данных федеральных законов Российской Федерации, руководящих и методических документов ФСТЭК России и ФСБ России.
3.2. Субъектами ПДн, обрабатываемых Компанией, являются:
- кандидаты на вакантные должности;
- текущие и бывшие работники Компании, родственники работников Компании, в пределах, определяемых законодательством Российской Федерации, если сведения о них предоставляются работником;
- физические лица, с которыми Компанией заключаются договоры гражданско-правового характера;
- представители юридических лиц – контрагентов Компании;
- клиенты – потребители, в т.ч. посетители сайта, принадлежащего Компании: www.swimlane.ru (далее – Сайт), в том числе с целью оформления заказа с последующей доставкой клиенту;
3.3. Компания осуществляет обработку ПДн субъектов в следующих целях:
- осуществления возложенных на Компанию законодательством Российской Федерации (далее - РФ) функций, полномочий и обязанностей в соответствии с федеральными законами, в том числе, но не ограничиваясь: Гражданским кодексом РФ, Налоговым кодексом РФ, Трудовым кодексом РФ, Семейным кодексом РФ, Федеральным законом от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Федеральным законом от 28.03.1998 г. № 53-ФЗ «О воинской обязанности и военной службе», Федеральным законом от 26.02.1997 г. № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации», Федеральным законом от 07.02.1992 №2300-1 «О защите прав потребителей», Федеральным законом от 21.11.1996 г. № 129-ФЗ «О бухгалтерском учете», Федеральным законом от 29.11.2010 г. № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», а также локальными актами Компании.
Работников в целях соблюдения трудового, налогового и пенсионного законодательства РФ, а именно:
- содействия работникам в трудоустройстве, обучении и продвижении по службе;
- расчета и начисления заработной платы;
- организация деловых поездок (командировок) работников;
- оформления доверенностей (в том числе для представления интересов Компании перед третьими лицами);
- обеспечения личной безопасности работников;
- контроля количества и качества выполняемой работы;
- обеспечения сохранности имущества;
- соблюдения пропускного режима в помещениях Компании;
- учета рабочего времени;
- пользования различного вида льготами в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, а также нормативными актами Компании.
Кандидатов на вакантные должности в целях:
- принятия решения о возможности заключения трудового договора с лицами, претендующими на открытые вакансии.
Контрагентов-физических лиц в целях:
- заключения и исполнения договора, одной из сторон которого является физическое лицо; рассмотрения возможностей дальнейшего сотрудничества.
Представителей юридических лиц – контрагентов Компании в целях:
- ведения переговоров, заключения и исполнения договоров, по которым предоставляются ПДн работников такого юридического лица для целей исполнения договора по различным направлениям хозяйственной деятельности Компании.
Клиентов – потребителей в целях:
- предоставления информации по товарам/услугам, проходящим акциям и специальным предложениям;
- анализа качества предоставляемого Компанией сервиса и улучшению качества обслуживания клиентов Компании;
- информирования о статусе заказа;
- исполнения договора, в т.ч. договора купли-продажи, в.т.ч. заключенного дистанционным способом на Сайте;
- доставки заказанного товара клиенту, совершившему заказ на Сайте;
- возврата Клиентом - потребителем товара.
3.4. Компания может осуществлять обработку ПДн клиентов, полученных онлайн - в сети Интернет (Сайты, мобильные приложения, социальные сети, электронная почта), офлайн - магазины (бутики), точки продаж, мероприятия (путем заполнения печатных регистрационных форм), а также при звонке в колл-центры (центры поддержки клиентов).
4. Принципы обработки ПДн4.1. При обработке ПДн Компания придерживается следующих принципов:
- обработка ПДн осуществляется на законной и справедливой основе;
- ПДн не раскрываются третьим лицам и не распространяются без согласия субъекта ПДн, за исключением случаев, требующих раскрытия ПДн по запросу уполномоченных государственных органов или с целью судопроизводства;
- обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
- содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки, Компания не обрабатывает избыточные ПДн;
- обрабатываемые Данные подлежат уничтожению или обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.2. Компания может включать ПДн субъектов в общедоступные источники ПДн, при этом Компания берет письменное согласие субъекта на обработку его ПДн.
4.3. Компания не осуществляет обработку ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах.
4.4. Биометрические ПДн (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн) в Компании не обрабатываются.
4.5. Компания не осуществляет трансграничную передачу ПДн.
4.6. В случаях, установленных законодательством Российской Федерации, Компания вправе осуществлять передачу ПДн третьим лицам (федеральной налоговой службе, государственному пенсионному фонду иным государственным органам) в случаях, предусмотренных законодательством Российской Федерации.
4.7. Компания вправе поручить обработку ПДн субъектов ПДн третьим лицам на основании заключаемого с этими лицами договора.
4.8. Лица, осуществляющие обработку ПДн на основании заключаемого с Компанией договора, обязуются соблюдать принципы и правила обработки и защиты ПДн, предусмотренные Законом.
Для каждого третьего лица в договоре определяются перечень действий (операций) с ПДн, которые будут совершаться третьим лицом, осуществляющим обработку ПДн, цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность ПДн при их обработке, указываются требования к защите обрабатываемых ПДн в соответствии с Законом.
5. Порядок и условия обработки персональных данных5.1. Обработка ПДн осуществляется при условии получения согласия субъекта ПДн, за исключением установленных законодательством РФ случаев, когда обработка ПДн может осуществляться без такого согласия.
5.2. Согласие на обработку ПДн должно удовлетворять следующим требованиям:
- согласие субъекта должно быть получено свободно, согласно воле субъекта и в его интересах;
- согласие должно быть дано субъектом ПДн в любой позволяющей подтвердить факт его получения форме. В случаях, предусмотренных Законом, согласие оформляется в письменной форме.
5.3. Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн Компания вправе продолжить обработку ПДн без согласия субъекта ПДн, при наличии оснований, установленных Законом.
5.4. Сроки обработки (хранения) ПДн определяются исходя из целей обработки ПДн, в соответствии со сроком действия договора с субъектом ПДн, требованиями федеральных законов, требованиями операторов ПДн, по поручению которых Компания осуществляет обработку ПДн, основными правилами работы архивов организаций, сроками исковой давности.
5.5. ПДн, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом. Хранение ПДн после прекращения их обработки допускается только после их обезличивания.
5.6. Обработка ПДн в Компании осуществляется с использованием средств автоматизации.
Совокупность операций обработки включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
5.7. Компании запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных законодательством Российской Федерации.
5.8. Работники, осуществляющие обработку ПДн на материальных носителях, до начала обработки должны быть проинформированы о категориях ПДн, об особенностях и правилах обработки ПДн.
5.9. Работник Компании отвечает за хранение и уничтожение материальных носителей с ПДн, с которыми он работает.
5.10. ПДн, обрабатываемые на материальных носителях, должны храниться на отдельно от иной информации.Хранение материальных носителей ПДн осуществляется только при наличии действующего согласия субъекта ПД на обработку ПДн или действующего договора, стороной которой является субъект ПДн.
5.11. В Компании осуществляется хранение резюме и анкет кандидатов на вакантные должности в независимости принят кандидат в штат или нет. Хранение данных резюме и анкет может осуществляться только с согласия кандидата на обработку его ПДн, с указанием срока действия согласия. В случаях истечения срока обработки ПДн или требования субъекта ПДн об уничтожении ПДн, резюме и анкеты уничтожаются с использованием шредера.
5.12. Хранение материальных носителей ПДн в открытом доступе в рабочих помещениях подразделений Компании и на столах работников допускается только в течение рабочего дня, под персональной ответственностью работника. По окончании работы с материальным носителем работник должен убрать материальный носитель в запираемый шкаф, закрепленный за работником, или в шкаф непосредственного руководителя. Доступ к шкафам должен быть ограничен перечнем лиц, имеющих доступ к ПДн.
5.13. Работники Компании получают доступ к ПДн исключительно в объеме, необходимом для выполнения своих должностных обязанностей.
5.14. Условия прекращения обработки ПДн:
- достижение целей обработки ПДн и предельных сроков хранения ПДн;
- утрата необходимости в достижении целей обработки ПДн;
- предоставление субъектом ПДн или его законным представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
- невозможность обеспечения правомерности обработки ПДн;
- отзыв субъектом ПДн согласия на обработку ПДн, если сохранение ПДн более не требуется для целей обработки ПДн;
- истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка ПДн;
- прекращение предпринимательской деятельности Компании.
6. Права и обязанности Компании в отношении обработки персональных данных6.1. Компания имеет право:
- получать от субъекта ПДн достоверные информацию и/или документы, содержащие ПДн;
- требовать от субъекта ПДн своевременного уточнения предоставленных ПДн;
- поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено законодательством РФ, на основании заключаемого с этим лицом договора;
- создавать общедоступные источники ПДн в целях информационного обеспечения с письменного согласия субъекта ПДн.
6.2. Компания обязана:
- обрабатывать ПДн в порядке, установленном действующим законодательством РФ;
- не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством РФ;
- при сборе ПДн предоставить субъекту ПДн по его просьбе информацию об обработке ПДн;
- разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку, если в соответствии с законодательством РФ предоставление таких данных и (или) получение такого согласия являются обязательными;
- предоставить субъекту ПДн информацию об обработке его ПДн до начала их обработки, если ПДн были получены Компанией не от субъекта ПДн, за исключением случаев, предусмотренных законодательством РФ;
- сообщить субъекту ПДн (его законному представителю) информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, если такие ПДн были получены Компанией не от субъекта ПДн;
- рассматривать обращения субъекта ПДн (его законного представителя) по вопросам обработки ПДн и давать мотивированные ответы;
- предоставлять субъекту ПДн (его законному представителю) возможность безвозмездного доступа к его ПДн, за исключением случаев, предусмотренных законодательством РФ;
- принимать меры по уточнению, уничтожению ПДн субъекта в связи с его (его законного представителя) обращением с законными и обоснованными требованиями;
- организовывать защиту ПДн в соответствии с требованиями законодательства РФ;
- при сборе ПДн, в том числе посредством информационно - телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ;
- исключить сведения о субъекте ПДн из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.
7. Права и обязанности субъекта персональных данных7.1. Субъект ПДн имеет право на:
- получение сведений об обработке его ПДн в объеме, определенном законодательством РФ;
- доступ к своим ПДн и получение копии любой записи, содержащей его ПДн, за исключением случаев, предусмотренных законодательством РФ;
- уточнение своих ПДн, их блокирование или уничтожение в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки;
- прекращение обработки его ПДн, в том числе посредством отзыва согласия на обработку ПДн, за исключением случаев, предусмотренных законодательством РФ.
7.2. Субъект ПДн обязан:
- предоставлять Компании только достоверные данные о себе, а также предоставлять документы, содержащие ПДн в объеме, необходимом для цели обработки;
- сообщать Компании об уточнении (обновлении, изменении) своих ПДн.
8. Обеспечение безопасности ПДн при их обработке8.1. Компания принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн. Обеспечение безопасности ПДн достигается, в частности, следующими способами:
- назначением ответственных лиц за организацию обработки ПДн;
- изданием документов, определяющих политику в отношении обработки ПДн, локальных актов по вопросам обработки ПДн;
- ознакомлением работников Компании, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе с требованиями к защите ПДн, локальными актами в отношении обработки ПДн и (или) обучением указанных работников;
- определением угроз безопасности ПДн при их обработке в информационных системах ПДн;
- применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к защите ПДн;
- осуществлением оценки вреда, который может быть причинен субъектам ПДн, в случае нарушения законодательства РФ в области ПДн, соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством РФ в области ПДн;
- ограничением состава лиц, имеющих доступ к ПДн;
- выявлением фактов несанкционированного доступа к ПДн и принятием соответствующих мер;
- определением мест хранения материальных носителей ПДн, а также обеспечением учета и сохранности материальных носителей ПДн;
- восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в информационной системе ПДн;
- контролем над принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности информационных систем ПДн;
- обеспечением неограниченного доступа к документу, определяющему политику в отношении обработки ПДн, в том числе опубликование настоящей Политики на сайте.
9. Ответственность за нарушения норм, регулирующих обработку ПДн9.1. Обеспечение конфиденциальности ПДн, обрабатываемых в Компании, является обязательным требованием для всех работников, которым ПДн стали известны, как в связи с рабочей деятельностью, так и по случайности или ошибке.
9.2. В случаях нарушения установленного порядка обработки и обеспечения безопасности ПДн, несанкционированного доступа к ПДн, раскрытия ПДн и нанесения Компанией, ее работникам, клиентам и контрагентам материального или иного ущерба виновные лица несут ответственность, предусмотренную действующим законодательством Российской Федерации.
10. Заключительные положения10.1. Настоящая Политика является локальным нормативным актом Компании. Настоящая Политика является общедоступной. Общедоступность настоящей Политики обеспечивается путем ее опубликования на Сайте, размещением в магазинах (бутиках) и на сетевом диске, доступном для всех работников Компании.
10.2. Настоящая Политика может быть пересмотрена в силу изменения норм действующего законодательства или по решению Компании.
10.3. Все отношения, касающиеся обработки ПДн, не получившие отражения в настоящей Политике, регулируются согласно положениям законодательства РФ.