Политика в отношении обработки персональных данных
1. Общие положения
1.1. Политика ООО «НОРМА-РУС» (далее – «Общество») в отношении обработки персональных данных (далее – «Политика») определяет порядок обработки и защиты Обществом персональных данных.
1.2. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые Обществом с применением средств автоматизации и без применения таких средств.
1.3. Политика определяет права и обязанности руководителей и работников Общества, порядок использования персональных данных в служебных целях, а также порядок взаимодействия по поводу обработки и защиты персональных данных. Политика обязательна к исполнению всеми работниками Общества, имеющими доступ к персональным данным.
1.4. К Политике имеет доступ любой субъект персональных данных. Актуальная версия Политики публикуется на сайтах normarus.ru (далее – «Сайт»).
2. Термины и определения.
2.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);
2.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
2.3. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
2.4. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
2.5. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
2.6. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
2.7. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
2.8. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
2.9. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
3. Порядок и условия обработки персональных данных.
3.1. При обработке персональных данных Общество руководствуется:
-
- Конституцией Российской Федерации;
- Гражданским кодексом Российской Федерации;
- Трудовым кодексом Российской Федерации;
- Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
- Постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Постановлением Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Уставом Общества;
- Настоящей Политикой;
- Согласиями на обработку персональных данных, получаемыми Обществом от субъектов персональных данных.
3.2. При обработке персональных данных Общество придерживается следующих принципов:
- законности;
- ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
- недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
- недопущения избыточности обрабатываемых персональных данных по отношению к заявленным целям обработки;
- прозрачности обработки персональных данных: субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
- осуществления хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
3.3. Общество не собирает и не обрабатывает специальные категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
3.4. Общество не принимает решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих права и законные интересы субъектов, на основании исключительно автоматизированной обработки персональных данных. Данные, имеющие юридические последствия или затрагивающие права и законные интересы субъекта персональных данных, подлежат перед их использованием проверке со стороны уполномоченных работников Общества.
3.5. Общество не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия.
3.6. Общество вправе передавать персональные данные субъектов персональных данных третьим лицам для обработки по договору поручения, в том числе хостинг-провайдерам, с соблюдением условий конфиденциальности и требований к поручению обработки персональных данных, предусмотренных Федеральным законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».
3.7. Общество осуществляет обработку персональных данных с использованием средств автоматизации и без их использования, выполняя требования к автоматизированной и неавтоматизированной обработке персональных данных, предусмотренные Федеральным законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
3.8. В рамках указанных в разделе 4 настоящей Политики целей сбора персональных данных Общество вправе совершать любые действия (операции) или совокупность действий (операций), с использованием средств автоматизации или без использования таких средств, предусмотренные п. 3 ч. 1 ст. 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение, передачу (распространение, предоставление, доступ) персональных данных третьим лицам с соблюдением мер, обеспечивающих защиту персональных данных от несанкционированного доступа, в объеме, необходимом для достижения целей данного субъектом персональных данных согласия.
3.9. Информация, относящаяся к персональным данным, ставшая известной Обществу, является конфиденциальной информацией и охраняется законом.
4. Категории персональных данных, цель их обработки и субъекты.
Цели сбора персональных данных, категории субъектов персональных данных, категории и перечень обрабатываемых персональных данных:
4.1. Для осуществления Обществом предпринимательской деятельности путем реализации товаров и услуг с использованием Сайта, в том числе для целей:
4.1.1. – улучшение пользовательского взаимодействия с сайтом и повышения комфорта его использования;
4.1.2. – реализации клиенту товаров и услуг;
4.1.3. – обеспечения связи с клиентом, установления с клиентом обратной связи, в том числе предоставления клиенту возможности направления уведомлений, сообщений, запросов и информации, касательно использования Сайта и возможности приобретения товаров на Сайте, предоставления клиентам возможности получения клиентской поддержки по телефону горячей линии и по электронной почте;
4.1.4. – использования cookies для идентификации зарегистрированных пользователей Сайта, ведения статистики о пользователях Сайта и их запросах, подсчета количества посетителей Сайта и оценки технических возможностей Сайта;
4.1.5. – проведения Обществом статистических и иных исследований через Сайт и клиентские службы Общества на основе обезличенных данных, формирование статистической отчетности.
Категории субъектов персональных данных:
- посетители Сайта;
- зарегистрированные пользователи Сайта;
- физические лица – клиенты Общества, приобретающие у Общества товары и услуги, в том числе с использованием Сайта;
- представители и работники юридических лиц – клиентов Общества, приобретающие у Общества товары и услуги, в том числе с использованием Сайта.
Категории и перечень персональных данных
- фамилия, имя, отчество (указанные вместе или по отдельности);
- адрес электронной почты (e-mail);
- город проживания;
- место работы, должность;
- данные из файлов cookie, пользовательские данные (IP-адрес; тип используемого устройства; операционная система устройства и тип браузера; источник захода на сайт и информация поискового или рекламного запроса; пользовательские клики; просмотры страниц, заполнения полей; показы и просмотры баннеров и видео; параметры сессии; данные о времени посещения; идентификатор пользователя, хранимый в cookie; данные, характеризующие аудиторные сегменты). Сбор указанных данных может осуществляться в том числе с использованием метрических программных средств, включая Яндекс Метрику, VK Мессенджер и Яндекс чат. При использовании указанного программного обеспечения возможна трансграничная передача персональных данных;
- иная информация, относящаяся к личности клиента/пользователя, которую клиент/пользователь пожелает оставить на Сайте.
4.2. Для осуществления Обществом административно-хозяйственной деятельности, в том числе:
4.2.1. – заключения и исполнения договоров с контрагентами;
4.2.2. – организации пропускного режима на территорию Общества;
4.2.3. – рекламирования Общества и его товаров и услуг;
4.2.4. – представления интересов Общества в государственных органах и органах местного самоуправления.
Категории субъектов персональных данных
- представители и работники юридических лиц – контрагентов и клиентов Общества;
- лица, с которыми у Общества заключены договоры гражданско-правового характера;
- представители государственных органов и органов местного самоуправления; – посетители территории Общества; – иные лица, каким-либо образом взаимодействующие с Обществом в рамках осуществления Обществом хозяйственной деятельности.
Категории и перечень персональных данных
- фамилия, имя, отчество (указанные вместе или по отдельности);
- контактный телефон;
- адрес электронной почты (e-mail);
- паспортные данные (серия и номер паспорта, кем и когда выдан паспорт);
- дата рождения;
- место работы, должность;
- реквизиты доверенностей;
- город проживания;
- адрес для корреспонденции;
- иная информация, относящаяся к личности субъекта персональных данных, которую данное лицо предоставит Обществу.
4.3. Для оформления и регулирования Обществом трудовых отношений и иных непосредственно связанных с ними отношений, в том числе для целей:
- привлечения и отбора кандидатов на замещение вакантных должностей и их учета в кадровом резерве;
- ведения кадровой работы и организации учета работников Общества;
- оформления Обществом трудовых отношений и иных, непосредственно связанных с ними отношений;
- обеспечения выполнения работниками трудовых обязанностей (трудовой функции);
- обеспечение контроля количества и качества выполняемой работы;
- расчета заработной платы работников Общества;
- направления работников Общества в командировки;
- беспечения возможности прохождения работниками Общества внутреннего и внешнего обучения; – исполнения Обществом трудового и налогового законодательства, ведения бухгалтерского и налогового учета, организации архивного хранения, предоставления информации в государственные и муниципальные органы Российской Федерации в порядке, предусмотренном действующим законодательством;
- исчисления и уплаты предусмотренных законодательством РФ налогов, сборов и взносов на обязательное социальное и пенсионное страхование;
- предоставления сведений в банковские организации для оформления банковской карты и/или перечисления заработной платы;
- предоставления информации в медицинские учреждения, страховые компании;
- предоставления субъектам персональных данных социального пакета и льгот;
- обеспечения пропускного режима в здание Общества;
- обеспечения личной безопасности субъектов персональных данных;
- обеспечения сохранности имущества Общества.
Категории субъектов персональных данных
- работники Общества;
- бывшие работники Общества;
- кандидаты на замещение в Обществе вакантных должностей;
- родственники работников Общества.
Категории и перечень персональных данных
- фамилия, имя, отчество (указанные вместе или по отдельности);
- дата и место рождения;
- сведения о гражданстве;
- адрес регистрации по месту жительства и адрес фактического пребывания;
- паспортные данные (серия и номер паспорта, кем и когда выдан);
- ИНН;
- номер СНИЛС;
- банковские реквизиты;
- сведения об образовании, о квалификации, о присвоении ученой степени;
- сведения, содержащиеся в трудовой книжке
- сведения о трудовом стаже, предыдущих местах работы;
- сведения о доходах с предыдущих мест работы;
- сведения о доходах работника у Общества;
- сведения о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника у Общества;
- данные иных документов, которые были предъявлены субъектом персональных данных при заключении трудового договора или в период его действия;
- данные о воинском учете и сведения, содержащиеся в документах воинского учета;
- семейное положение, состав семьи (Ф.И.О. родственников, степень родства, дата рождения, контактные данные родственников);
- фото- и видеоизображения;
- сведения о личных и деловых качествах, носящие оценочный характер;
- иная информацию, относящаяся к личности субъекта персональных данных, которую указанное лицо пожелает предоставить Обществу.
Специальная категория:
- Сведения о состоянии здоровья работника.
5. Правовые основания и сроки обработки персональных данных
| Правовое основание обработки персональных данных | Сроки обработки и хранение персональных данных |
| Для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей. | В течение срока, установленного соответствующими международным договором или законом. |
| Для исполнения договора (в том числе оферты или пользовательского соглашения), стороной которого является субъект персональных данных. | В течение срока действия такого договора, кроме случаев, когда более длительный срок обработки персональных данных установлен договором или действующим законодательством Российской Федерации. |
| При необходимости обработки персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. | В течение срока, установленного соответствующими международным договором или законом. |
| Для исполнения судебного акта, акта иного органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве. | В течение срока, необходимого для исполнения соответствующего акта. |
| Для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно. | До момента, когда получение согласия субъекта персональных данных станет возможным или когда отпадут обстоятельства, угрожающие жизни, здоровью или иным жизненно важным интересам (в зависимости от того, какое обстоятельство наступит раньше). |
| Для осуществления прав и законных интересов Общества или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных. | В течение срока, необходимого для осуществления прав и обеспечения законных интересов Общества и третьих лиц. Конкретный срок определяется Обществом с учетом положений настоящей Политики, внутренних документов и локальных нормативных актов Общества, а также принципов обработки персональных данных и требований действующего законодательства Российской Федерации, в том числе в части прекращения обработки персональных данных при достижении конкретных, заранее определенных и законных целей такой обработки. |
6. Права субъектов персональных данных.
6.1. Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
6.2. Получать от Общества, на основании официального запроса, следующие сведения:
- подтверждение факта обработки персональных данных Обществом;
- правовые основания и цели обработки персональных данных;
- сведения о применяемых Обществом способах обработки персональных данных;
- наименование и место нахождения Общества;
- сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
- перечень обрабатываемых персональных данных, относящихся к гражданину, от которого поступил запрос и источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
- сведения о сроках обработки персональных данных, в том числе о сроках их хранения;
- порядок осуществления гражданином прав, предусмотренных Федеральным законом «О персональных данных» № 152-ФЗ;
- информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом «О персональных данных» № 152-ФЗ или другими федеральными законами;
6.3. Отозвать своё согласие на обработку персональных данных;
6.4. Требовать устранения неправомерных действий Общества в отношение его персональных данных;
6.5. Обжаловать действия или бездействие Общества в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы;
6.6. Защищать свои права и законные интересы, в том числе требовать возмещения убытков и/или компенсации морального вреда в судебном порядке.
7. Порядок ответа на запросы субъектов персональных данных.
7.1. Субъекты персональных данных могут получить разъяснения по интересующим вопросам обработки персональных данных, в том числе, уточнить персональные данные или отозвать своё согласие на обработку персональных данных, направив запрос в адрес ООО «НОРМА-РУС» в письменном виде по адресу: 195197, г. Санкт-Петербург ул. Жукова, д. 18, лит. Д, корпус 310,
пом. 14Н (№30).
В тексте запроса необходимо указать:
- фамилию, имя, отчество (при наличии) субъекта персональных данных;
- реквизиты документа, подтверждающего полномочия представителя субъекта персональных данных (в случае, если субъект персональных данных обращается к Обществу через представителя);
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, а также сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом;
- подпись субъекта персональных данных или его представителя.
7.2. Запрос, указанный в п. 7.1 настоящей Политики, может быть подписан электронной подписью и направлен в форме электронного документа на адрес электронной почты info@normarus.ru.
7.3. Общество отвечает на поступившие запросы субъектов персональных данных в порядке и в сроки, установленные Федеральным законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».
8. Сведения о реализуемых мерах по защите персональных данных.
8.1. Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. В частности, Общество принимает следующие меры:
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
- регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
- организация пропускного режима на территорию Общества;
- размещение технических средств обработки персональных данных в пределах охраняемой территории;
- поддержание технических средств охраны, сигнализации в постоянной готовности;
- проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных;
- в целях координации действий по обеспечению безопасности персональных данных в Обществе назначены лица, ответственные за обеспечение безопасности персональных данных.
9. Изменение политики.
9.1. Общество периодически актуализирует настоящую Политику и вправе в одностороннем порядке в любой момент изменять её условия. При этом, Общество не обязано уведомлять субъектов персональных данных о внесённых изменениях. Общество рекомендует субъектам персональных данных самостоятельно отслеживать настоящую Политику на предмет возможных изменений.
