Политика об обработке персональных данных
ПОЛИТИКА безопасности персональных данных
1. Общая часть
1.1 Настоящая Политика определяет порядок создания, принципы и цели обработки и защиты персональных данных, категории субъектов персональных данных, права и обязанности АО «Нэфис Косметикс» (далее – Оператор) и субъектов персональных данных, а также меры и способы защиты персональных данных при их обработке.
1.2 Основанием для разработки данного локального нормативного акта являются:
• Конституция РФ от 12 декабря 1993 г. (ст. ст. 2, 17-24, 41);
• глава 14 (ст. 86-90) Трудового кодекса РФ;
• часть 1 и 2, часть 4 Гражданского кодекса РФ;
• Федеральный закон Российской Федерации от 02 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
• Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
• Федеральный закон Российской Федерации от 29 декабря 2012 № 273-ФЗ «Об образовании в Российской Федерации»;
• Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
• Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Постановления Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Регламентирующие документы ФСТЭК России об обеспечении безопасности персональных данных:
• «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (Выписка) (утв. ФСТЭК РФ 15 февраля 2008 г.);
• Приказ ФСТЭК от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Устав АО «Нэфис Косметикс».
2. Основные понятия, используемые в настоящей Политике
Для целей настоящей Политики применяются следующие термины и определения:
Оператор персональных данных (Оператор) - юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящей политики обработки персональных данных Оператором признается АО «Нэфис Косметикс».
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных), которую субъект персональных данных предоставляет Оператору о себе самостоятельно в рамках трудовых и иных непосредственно связанных с ним отношений, при заключении и исполнении гражданско-правовых сделок с Оператором, а также при заполнении формы обратной связи либо в процессе пользования сайтами, интернет-магазинами, мобильными приложениями Оператора. , включая персональные данные Пользователя, такие как: фамилия, имя, отчество, должность, электронная почта, телефон, адрес, логин и пароль от личного кабинета интернет-магазина и другие данные. Техническая и статистическая информация, которые автоматически передаются сервисам интернет- магазина в процессе их использования с помощью установленного на устройстве Пользователя программного обеспечения, в том числе IP-адрес, сведения о посещенных разделах интернет-магазина, данные файлов cookie, информация о браузере Пользователя, операционной системе, технические характеристики оборудования и программного обеспечения, используемых Пользователем, дата и время доступа к сервисам, адреса запрашиваемых страниц и иная подобная информация. Номер телефона при осуществлении Пользователем звонка на телефонные номера указанные в интернет-магазине. Адрес Электронной почты, при направлении Пользователем электронных писем по адресу электронной почты, указанному в интернет-магазине. Информация о профилях Пользователя в соответствующих социальных сетях. Информация о действиях Пользователя, в том числе сведения о направленных запросах, вопросах.
Субъекты персональных данных - физические лица, состоящие или готовящиеся вступить в трудовые или гражданско-правовые отношения с Оператором, физические лица, как приобретающее либо заказывающее товар, так и намеревающееся заказать или уже купившее товар интернет-магазинов Оператора, иные физические лица определяемые с помощью персональных данных.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, (обновление, накопление, хранение, уточнение изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных иного лица, работника.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной системы техники.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных - операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством.
Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных.
Общедоступные персональные данные - персональные данные, к которым предоставлен доступ неограниченного круга лиц с согласия субъекта персональных данных, или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
3. Цели сбора персональных данных
3.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.2. Обработка Оператором персональных данных осуществляется в следующих целях:
3.2.1. Осуществления своей деятельности в соответствии с уставом АО «Нэфис Косметикс», в том числе в целях проверки контрагента, в целях заключения и исполнения договоров с контрагентами;
3.2.2. Идентификации пользователя, клиента (субъекта персональных данных), зарегистрированного на сайте интернет-магазинов Оператора, установления обратной связи, включая направление уведомлений, запросов, касающихся продажи товаров, обработку запросов и заявок от субъектов персональных данных, сравнения персональных данных для подтверждения их точности, полноты и проверки их третьими лицами в случаях, предусмотренных законодательством, направления в личные сообщения социальных сетей, СМС, на адреса электронной почты сообщений, презентаций, новостных и рекламных рассылок, обработки входящих электронных сообщений, предоставления субъектам персональных данных эффективной клиентской и технической поддержки при возникновении вопросов, возникающих в рамках соглашений и договоров, которые могут быть заключены между субъектами персональных данных и Оператором;
3.2.3. Регистрации посетителей на сайте/сайтах Оператора, предоставления доступа к его отдельным разделам, предоставления информации об Операторе и его группе лиц, о товарах, услугах и мероприятиях Оператора, коммуникации с посетителями сайта/сайтов Оператора;
3.2.4. Исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, в том числе: содействие работникам в трудоустройстве, получении образования и продвижении по службе, привлечение и отбор кандидатов на работу у Оператора, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, ведение кадрового и бухучета, заполнение и передача в уполномоченные органы требуемых форм отчетности, организация постановки на индивидуальный (персонифицированный) учет работников в системах обязательного пенсионного страхования и обязательного социального страхования;
3.2.5. Осуществление пропускного режима;
3.2.6. Исполнения судебных актов, актов других государственных органов и/или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации;
3.2.7. Исполнения запросов уполномоченных государственных органов и субъектов персональных данных;
3.2.8. В иных законных целях.
4. Объем и категории обрабатываемых персональных данных,
категории субъектов персональных данных
4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 3 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных.
4.2.1. Кандидаты для приема на работу к Оператору - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима:
фамилия, имя, отчество;
пол;
гражданство;
дата и место рождения;
контактные данные;
сведения об образовании, опыте работы, квалификации;
иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.
4.2.2. Работники и бывшие работники Оператора - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима:
фамилия, имя, отчество;
пол;
гражданство;
дата и место рождения;
изображение (фотография);
паспортные данные;
адрес регистрации по месту жительства;
адрес фактического проживания;
контактные данные;
индивидуальный номер налогоплательщика;
страховой номер индивидуального лицевого счета (СНИЛС);
сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
семейное положение, наличие детей, родственные связи;
сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
данные о регистрации брака;
сведения о воинском учете;
сведения об инвалидности;
сведения об удержании алиментов;
сведения о доходе с предыдущего места работы;
иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
4.2.3. Члены семьи работников Оператора - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:
фамилия, имя, отчество;
степень родства;
год рождения;
иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
4.2.4. Клиенты и контрагенты Оператора (физические лица), покупатели интернет-магазинов Оператора - для целей осуществления своей деятельности в соответствии с уставом АО «Нэфис Косметикс», осуществления пропускного режима:
фамилия, имя, отчество;
дата и место рождения;
паспортные данные;
адрес регистрации по месту жительства;
контактные данные;
замещаемая должность;
индивидуальный номер налогоплательщика;
номер расчетного счета;
иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.
4.2.5. Представители (работники) клиентов и контрагентов Оператора (юридических лиц) - для целей осуществления своей деятельности в соответствии с уставом АО «Нэфис Косметикс», осуществления пропускного режима:
фамилия, имя, отчество;
паспортные данные;
контактные данные;
замещаемая должность;
иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.
4.3. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.
5. Общие принципы обработки персональных данных
иных лиц, работников
5.1. Обработка персональных данных иных лиц и работников осуществляется на основе принципов:
- добросовестность и законность целей и способов обработки персональных данных;
- соблюдение законности получения, обработки, хранения, а также других действий с персональными данными;
- соответствие объема и содержания обрабатываемых персональных данных и способов обработки персональных данных целям обработки;
- достоверность персональных данных, их актуальность и достаточность для целей обработки, недопустимость обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимость объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- ограничение обработки персональных данных при достижении конкретных и законных целей, запрет обработки персональных данных, несовместимых с целями сбора персональных данных;
- осуществление хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен действующим законодательством. Персональные данные подлежат уничтожению или обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.
6. Основные права и обязанности Оператора и Субъекта персональных данных.
6.1. Оператор имеет право:
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
- поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
- в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
6.2. Оператор обязан:
- организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
- отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
- сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
- в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.
6.3. Субъект персональных данных имеет право:
- получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами, в том числе следующую информацию:
1) подтверждение факта обработки персональных данных организации;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые организации способы обработки персональных данных;
4) наименование и место нахождения организации, сведения о лицах (за исключением работников организации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с организацией или на основании Федерального закона № 152-ФЗ;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом № 152-ФЗ;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению организации, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом № 152-ФЗ или Федеральным законодательством.
Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Сведения предоставляются субъекту персональных данных при его обращении или направления Оператору соответствующего запроса. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
В случае если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законодательством, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
- требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;
- обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.
6.4. Субъект персональных данных (кандидат на трудоустройство к Оператору, работник Оператор) обязан:
- При приеме на работу предоставлять работодателю (представителю нанимателя) свои полные и достоверные персональные данные;
- Для своевременной и полной реализации своих трудовых, пенсионных и иных прав работник обязуется поставить в известность работодателя об изменении персональных данных, обрабатываемых работодателем в связи с трудовыми отношениями, в том числе изменении фамилии, имени, отчества, паспортных данных, о получении образования, квалификации, получении инвалидности и иных медицинских заключений, препятствующих выполнению своих должностных обязанностей.
7. Порядок и условия получения, обработки и уничтожения персональных данных
7.1. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных. Согласие субъекта персональных данных на использование его персональных данных хранится у Оператора в бумажном и/или электронном виде.
Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом № 152-ФЗ электронной подписью. Согласие субъекта персональных данных в письменной форме на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование и адрес организации, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению организации если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых организацией способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено Федеральным законодательством;
9) подпись субъекта персональных данных.
В случае недееспособности иного лица согласие на обработку его персональных данных дает в письменной форме его законный представитель.
7.2. Согласие субъекта на обработку персональных данных действует в течение всего срока действия договора, а также в течение 5 лет с даты прекращения действия договорных отношений субъекта персональных данных и Оператора. По истечении указанного срока действие согласия считается продленным на каждые следующие пять лет при отсутствии сведений об его отзыве субъектом персональных данных.
7.3. Если персональные данные субъекта персональных данных возможно получить только у третьей стороны, субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Третье лицо, предоставляющее персональные данные субъекта персональных данных, должно обладать согласием субъекта на передачу персональных данных Оператору. Оператор обязан получить подтверждение от третьего лица, передающего персональные данные о том, что персональные данные передаются с согласия субъекта персональных данных. Оператор обязан при взаимодействии с третьими лицами заключить с ними соглашение о конфиденциальности информации, касающейся персональных данных субъектов персональных данных.
7.4. Оператор обязан сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
7.5. Обработка персональных данных без согласия субъекта персональных данных осуществляется в следующих случаях:
- Персональные данные являются общедоступными.
- По требованию полномочных государственных органов в случаях, предусмотренных федеральным законом РФ;
- На основании мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации. Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации
- Обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора.
- Обработка персональных данных осуществляется в целях заключения и исполнения договора, одной из сторон которого является субъект персональных данных.
- Обработка персональных данных осуществляется для статистических целей при условии обязательного обезличивания персональных данных.
- В иных случаях, предусмотренных законом.
7.6. Обработка персональных данных субъекта персональных данных, являющегося работником Оператора не требует получения соответствующего согласия в следующих случаях:
- если объем обрабатываемых работодателем (представителем нанимателя) персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством.
- обязанность по обработке, в том числе опубликованию и размещению персональных данных сотрудника в сети Интернет, предусмотрена законодательством Российской Федерации.
- при передаче персональных данных работника третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.
- при передаче персональных данных работника в случаях, связанных с выполнением им должностных обязанностей, в том числе, при его командировании (в соответствии с Правилами оказания гостиничных услуг в Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 25 апреля 1997 г. № 490, нормативными правовыми актами в сфере транспортной безопасности).
- в случаях передачи работодателем (представителем нанимателя) персональных данных работников в налоговые органы, военные комиссариаты, профсоюзные органы, предусмотренные действующим законодательством Российской Федерации.
7.7. Передача персональных данных работника Оператора кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы (денежного содержания), осуществляется без его согласия в следующих случаях:
• договор на выпуск банковской карты заключался напрямую с работником, сотрудником и в тексте, которого предусмотрены положения, предусматривающие передачу работодателем (представителем нанимателя) персональных данных работника, сотрудника;
• наличие у работодателя (представителя нанимателя) доверенности на представление интересов работника, сотрудника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;
7.8. Обработка персональных данных работника, сотрудника при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя (представителя нанимателя), при условии, что организация пропускного режима осуществляется работодателем (представителем нанимателя) самостоятельно.
7.9. Обработка персональных данных соискателей на замещение вакантных должностей в рамках правоотношений, урегулированных Трудовым кодексом РФ, предполагает получение согласия соискателей на замещение вакантных должностей на обработку их персональных данных на период принятия работодателем решения о приеме либо отказе в приеме на работу.
Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым данное лицо заключил соответствующий договор, а также при самостоятельном размещении соискателем своего резюме в сети Интернет, доступного неограниченному кругу лиц.
При поступлении в адрес работодателя резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо, его направившее не представляется возможным, данное резюме подлежит уничтожению в день поступления.
В случае, если сбор персональных данных соискателей осуществляется посредством типовой формы анкеты соискателя, утвержденной оператором, то данная типовая форма анкеты должна соответствовать требованиям п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687, а также содержать информацию о сроке ее рассмотрения и принятия решения о приеме либо отказе в приеме на работу.
Типовая форма анкеты соискателя может быть реализована в электронной форме на сайте Оператора, где согласие на обработку персональных данных подтверждается соискателем путем проставления отметки в соответствующем поле, за исключением случаев, когда работодателем запрашиваются сведения, предполагающие получение согласия в письменной форме.
В случае отказа в приеме на работу сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней.
Получение согласия также является обязательным условием при направлении работодателем запросов в иные организации, в том числе, по прежним местам работы, для уточнения или получения дополнительной информации о соискателе.
7.10. Оператор не имеет права получать и обрабатывать персональные данные о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни субъекта персональных данных.
7.11. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом № 152-ФЗ, на основании заключаемого с этим лицом договора, в том числе государственного контракта, либо путем принятия Оператором соответствующего акта (далее - поручение Оператора). Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом № 152-ФЗ. В поручении Оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона № 152-ФЗ.
В случае если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет организация. Лицо, осуществляющее обработку персональных данных по поручению организации, несет ответственность перед организацией.
7.12. Оператор вправе передавать персональные данные субъектов персональных данных контрагентам Оператора, оказывающим ему бухгалтерские, юридические и (или) иные услуги. В этом случае такое третье лицо будет являться оператором персональных данных исключительно в целях, указанных в настоящей Политике.
7.13. К обработке персональных данных Клиентов могут иметь доступ только сотрудники Организации, допущенные к работе с персональными данными и подписавшие Соглашение о неразглашении персональных данных субъектов персональных данных и следующие лица:
• Генеральный директор Оператора;
• Главный бухгалтер и работники бухгалтерии Оператора;
• Работники дирекции персонала;
• Работники IT дирекции;
• Работники отдела кадров;
• Работники дирекции продаж в части персональных данных клиентов интернет-магазинов Оператора;
• субъект персональных данных в части собственных персональных данных.
7.14. Оператор осуществляет обработку персональных данных для каждой цели их обработки следующими способами:
неавтоматизированная обработка персональных данных;
автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
смешанная обработка персональных данных.
7.15. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
7.16. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
7.17. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:
в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
7.18. При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
7.19. В случае достижения цели обработки персональных данных организация обязана прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению организации) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению организации) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является иное лицо, иным соглашением между организацией и иным лицом, либо если организация не вправе осуществлять обработку персональных данных без согласия иного лица на основаниях, предусмотренных Федеральным законом № 152-ФЗ или Федеральным законодательством.
7.20. В случае отзыва иным лицом согласия на обработку его персональных данных организация обязана прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению организации) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению организации) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между организацией и иным лицом, либо если организация не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ или Федеральным законодательством.
7.21. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока, организация осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению организации) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен Федеральным законодательством.
7.22. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
8. Хранение и защита персональных данных
8.1. Под защитой персональных данных понимается комплекс мер (организационно- распорядительных, технических, юридических), направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных субъектов, а также от иных неправомерных действий.
8.2. Обеспечение безопасности персональных данных иных лиц, работников достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем над принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
8.3. Для обеспечения безопасности персональных данных иных лиц, работников при неавтоматизированной обработке предпринимаются следующие меры:
- Определяются места хранения персональных данных, которые оснащаются средствами защиты:
- В кабинетах, где осуществляется хранение документов, содержащих персональные данные иных лиц, работников, имеются сейфы, шкафы, стеллажи, тумбы.
- Дополнительно кабинеты, где осуществляется хранение документов, оборудованы замками и системами охранной (пультовой) и пожарной сигнализаций.
- Оператор использует услуги вневедомственной охраны.
- В здании, где расположен Оператор, имеется пропускная система.
8.4. Оператор при защите персональных данных принимает все необходимые организационно-распорядительные, юридические и технические меры, в том числе:
• Шифровальные (криптографические) средства.
• Антивирусная защита.
• Анализ защищённости.
• Обнаружение и предотвращение вторжений.
• Управления доступом.
• Регистрация и учет.
• Обеспечение целостности.
• Организация нормативно-методических локальных актов, регулирующих защиту персональных данных.
8.5. Сотрудник Оператора, имеющий доступ к персональным данным в связи с исполнением трудовых обязанностей:
• Обеспечивает хранение информации, содержащей персональные данные субъектов персональных данных, исключающее доступ к ним третьих лиц.
• В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные субъектов персональных данных.
• При уходе в отпуск, во время служебной командировки и в иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные субъектов персональных данных лицу, на которое локальным актом Оператора (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.
• В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные, передаются другому сотруднику, имеющему доступ к персональным данным субъектов персональных данных по указанию Генерального директора Оператора.
• При увольнении сотрудника, имеющего доступ к персональным данным, документы и иные носители, содержащие персональные данные субъектов персональных данных, передаются другому сотруднику, имеющему доступ к персональным данным по указанию Генерального директора.
8.6. Защита персональных данных субъектов персональных данных, хранящихся в электронных базах данных Оператора, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается Администратором информационной безопасности.
8.7. Персональные данные субъектов персональных данных на бумажных носителях хранятся в сейфах.
8.8. Персональные данные субъектов персональных данных в электронном виде хранятся в локальной компьютерной сети Оператора, в электронных папках и файлах в персональных компьютерах Генерального директора и сотрудников, допущенных к обработке персональных данных субъектов персональных данных.
8.9. Защита доступа к электронным базам данных, содержащим персональные данные, обеспечивается:
• Использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный вход в локальную сеть Оператора.
• Разграничением прав доступа с использованием учетной записи.
• Двух ступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются Администратором информационной безопасности Оператора и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным.
8.10. Персональные компьютеры, имеющие доступ к базам хранения персональных данных иных лиц, работников, защищены паролями доступа. Пароли устанавливаются Администратором информационной безопасности и сообщаются индивидуально работнику, допущенному к работе с персональными данными и осуществляющему обработку персональных данных иных лиц, работников на данном ПК. Изменение паролей Администратором информационной безопасности осуществляется не реже 1 раза в 3 месяца.
9. Право на обжалование действий или бездействия Оператора
9.1 Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
9.2 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
10. Ответственность за нарушение норм,
регулирующих обработку и защиту персональных данных
10.1 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с Федеральным законодательством.
10.2 Сотрудники Оператора, допущенные к обработке персональных данных, за разглашение полученной в ходе своей трудовой деятельности информации, несут дисциплинарную, административную или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.
10.3 Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом № 152-ФЗ, а также требований к защите персональных данных, установленных в соответствии с Федеральным законом № 152-ФЗ, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
11. Заключительные положения
11.1 Настоящая Политика вступает в силу с даты ее утверждения Генеральным директором АО «Нэфис Косметикс».
11.2 При необходимости приведения настоящей Политики в соответствие с вновь принятыми законодательными актами, изменения вносятся на основании Приказа генерального директора АО «Нэфис Косметикс».
11.3 Настоящая Политика распространяется на всех субъектов персональных данных, в том числе но не исключительно на контрагентов Оператора, на покупателей и посетителей сайтов и интернет-магазинов Оператора, на кандидатов на трудоустройство к Оператору, на работников Оператора, а также сотрудников Оператора, имеющих доступ и осуществляющих перечень действий с персональными данными субъектов персональных данных.
11.4 В обязанности работников Оператора, осуществляющих первичный сбор персональных данных входит получение согласия субъекта персональных данных на обработку его персональных данных под личную подпись.
11.5 В обязанности Оператора входит ознакомление всех работников с настоящей Политикой и лиц, принимаемых на работу до подписания трудового договора, под личную подпись.
11.6 Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора, а также на сайтах интернет-магазинов Оператора.