УТВЕРЖДЕНА

приказом директора

ООО «Серебряная Роса»

01 января 2017 года


ПОЛИТИКА

В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ


ООО «Серебряная Роса», г. Вологда, 2017 год


ОГЛАВЛЕНИЕ

1. ОБЩИЕ ПОЛОЖЕНИЯ

2. КАТЕГОРИИ СУБЪЕКТОВ, ЧЬИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ОБРАБАТЫВАЮТСЯ

3. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ДАННЫХ

5. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ. КАТЕГОРИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

7. УСЛОВИЯ И СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

8. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ

9. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

10. СОГЛАСИЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

11. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

12. ОБЯЗАННОСТИ ОБЩЕСТВА

13. СРОКИ ОБРАБОТКИ (ХРАНЕНИЯ) ПЕРСОНАЛЬНЫХ ДАННЫХ

14. ОСОБЕННОСТИ ОБРАБОТКИ И ЗАЩИТЫ ДАННЫХ, СОБИРАЕМЫХ ОБЩЕСТВОМ С ИСПОЛЬЗОВАНИЕМ СЕТИ ИНТЕРНЕТ

15. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

16. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ


1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. ООО «Серебряная Роса» (далее по тексту Общество, Оператор) в целях исполнения подпункта 2 части 1 статьи 18.1 Федерального закона Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 года (далее по тексту Закон) разработало настоящую Политику в отношении обработки персональных данных (далее по тексту Политика), в которой указана позиция ООО «Серебряная Роса» в области обработки и защиты персональных данных (далее по тексту Данные, Персональные данные).

1.2. Настоящая Политика распространяется на Данные, полученные как до, так и после ввода в действие настоящей Политики.

1.3. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые Обществом с применением средств автоматизации и без применения таких средств.

1.4. Общество в целях соблюдения конституционных прав граждан Российской Федерации и граждан других государств обеспечивает надежную защиту Персональных данных.

1.5. Термины, используемые в настоящей Политике.

1.5.1. Персональные данные - любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), к которой в частности относятся: ФИО, дата, месяц и год рождения, место рождения, адрес (регистрации, проживания), паспортные данные, ИНН, СНИЛС, сведения о семейном, социальном, имущественном положении, сведения об образовании, профессии, доходах, номер телефона, адрес электронной почты для связи, информация о кандидатах на вакантные должности, оставленная такими кандидатами при заполнение анкеты, включая информацию, содержащуюся в резюме кандидата, а также другая информация.

1.5.2. Субъект персональных данных – лицо, к которому относятся соответствующие персональные данные.

1.5.3. Оператор - юридическое, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.5.4. Обработка Персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.5.5. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

1.5.6. Доступ к персональным данным – ознакомление определенных лиц (в том числе работников) с персональными данными субъектов, обрабатываемыми оператором, при условии сохранения конфиденциальности этих сведений.

1.5.7. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

1.5.8. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

1.5.9. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

1.5.10. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.5.11. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

1.5.12. Конфиденциальность персональных данных – обязанность лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

1.5.13. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств:

- Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;

- Информационная система является информационной системой, обрабатывающей биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных;

- Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных»;

- Информационная система является информационной системой, обрабатывающей иные категории персональных данных, если в ней не обрабатываются персональные данные, указанные в абзацах 2-4 настоящего пункта.

- Информационная система является информационной системой, обрабатывающей персональные данные сотрудников Общества, если в ней обрабатываются персональные данные только указанных сотрудников. В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками Общества.

1.5.14. Актуальная угроза безопасности персональных данных - совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

1.5.15. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.5.16. Безопасность Персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

1.5.17. Контрагент Общества – сторона по договору с Обществом.

1.5.18. Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен на основании федерального закона, субъектом персональных данных либо по его просьбе, в том числе данные, которые в соответствии с законодательством подлежат обязательному раскрытию или опубликованию.

1.5.19. Специальная категория персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

1.5.20. Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных.

1.5.21. Клиент Общества - посетитель (пользователь) сайта (лицо, имеющее доступ к Сайту, посредством сети Интернет и использующее Сайт), пользователь мобильных приложений.

1.5.22. Администрация Сайта – сотрудники, уполномоченные на управления сайтом, действующие от имени ООО «Серебряная Роса», которые организуют и (или) осуществляют обработку персональных данных, а также определяют цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.5.23. Cookies — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.

1.5.24. IP-адрес — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.

2. КАТЕГОРИИ СУБЪЕКТОВ,

ЧЬИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ОБРАБАТЫВАЮТСЯ

2.1. Общество является оператором персональных данных в отношении персональных данных следующих физических лиц:

2.1.1. Работников Общества – лица, работающих в ООО «Серебряная Роса» на основе трудового договора.

2.1.2. Родственников работников - близких родственники работников Общества.

2.1.2. Кандидатов на вакантные должности Общества - лица, представившие лично и/или через специализированные организации по подбору персонала (кадровые агентства), и/или посредством электронной почты свои резюме или анкеты.

2.1.3. Исполнителей - физические лица, выполняющие работы в интересах ООО «Серебряная Роса» в соответствии с заключенными с ними гражданско-правовыми договорами и хозяйственными договорами.

2.1.4. Физических лиц, входящих в органы управления Общества, не являющихся его работниками.

2.1.5. Акционеров – физических лиц – владельцев акций Общества.

2.1.6. Контрагентов Общества – юридические, физические лица, индивидуальные предприниматели (их представители) являющиеся стороной по договору, заключенному с Обществом.

2.1.7. Аффилированных лиц - физические лица, способные оказывать влияние на деятельность Общества.

2.1.8. Выгодоприобретателей – лиц, не являющихся непосредственно участниками сделки, к выгоде которых действует контрагент, в том числе на основании агентского договора, договоров поручения, комиссии и доверительного управления, при проведении операций с денежными средствами и иным имуществом.

2.1.9. Физических лиц, Данные которых обрабатываются в интересах третьих лиц – операторов Данных на основании договора (поручения операторов Данных).

2.1.10. Клиентов - посетителей сайта, пользователи мобильных приложений.

3. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.2. Общество осуществляет обработку Персональных данных в целях:

3.2.1. Работников:

- соблюдения норм трудового, налогового и пенсионного законодательства Российской Федерации, в т.ч., но не ограничивая:

- содействия работникам в трудоустройстве, обучении и продвижении по службе;

- расчета и начисления заработной платы;

- организация командировок работников;

- оформления доверенностей на работников;

- контроля количества и качества выполняемой работы;

- обеспечения сохранности имущества;

- учета рабочего времени;

- использования льгот, установленных трудовым, налоговым законодательством РФ, федеральными законами, а также Уставом и локальными актами Общества;

3.2.2. Родственников работников:

- соблюдения норм трудового, налогового и пенсионного законодательства Российской Федерации, а также выполняется Обществом как работодателем в соответствии с требованиями органов государственного статистического учета;

- предоставление льгот и гарантий, установленных действующим законодательством.

3.2.3. Кандидатов на вакантные должности в целях:

- принятия решения о возможности заключения трудового договора с лицами, претендующими на открытые вакансии.

3.2.4. Исполнителей:

- соблюдения норм гражданского, налогового и пенсионного законодательства Российской Федерации.

3.2.5. Акционеров, а также лиц, входящих в органы управления Общества, не являющихся его работниками:

- выполнения требований, предусмотренных законодательством РФ, в т.ч., но не ограничиваясь, обеспечения возможности участия в общих собраниях акционеров, выплата дивидендов, обязательное раскрытие информации, аудит, проверка возможности совершения сделок, в том числе сделок с заинтересованностью и/или крупных сделок.

3.2.6. Контрагентов Общества (представителей):

- ведения переговоров, заключения и исполнения договора, одной из сторон которого является Контрагент;

- ведения переговоров, заключение и исполнение договоров, по которым предоставляются Данные работников такого юридического лица для целей исполнения договора по различным направлениям хозяйственной деятельности.

- дальнейшего сотрудничества.

3.2.7. Аффилированных лиц:

- выполнения требований, предусмотренных действующим законодательством РФ, в т.ч. раскрытие информации о лицах, оказывающих существенное (прямое, косвенное) влияние на решения органов управления Обществом, выполнение требований законодательства о порядке заключения сделок, в совершении которой имеется заинтересованность.

3.2.8. Выгодоприобретателей:

- - выполнения требований, предусмотренных действующим законодательством РФ, в т.ч. выполнение норм гражданского законодательства о сделках, имеющих выгодоприобретателей.

3.2.9. Физических лиц, Данные которых обрабатываются в интересах третьих лиц – операторов Данных на основании договора (поручения операторов Данных) в целях:

- исполнения договоров – поручений операторов Данных;

3.2.10. Клиентов - посетителей сайта, пользователи мобильных приложений с целью:

- Установления с Пользователем обратной связи, включая направление уведомлений, запросов, касающихся использования Сайта, оказания услуг (поставки Товара), обработка запросов и заявок от Пользователя, предоставления информации по товарам/услугам, проходящим акциям и специальным предложениям;

- контроль качества предоставляемого Обществом сервиса и улучшению качества обслуживания клиентов;

- исполнения договора, в т.ч. договора оказания услуг, поставки, купли-продажи;

- подготовки договора и доставки заказанного товара клиенту, совершившему заказ на Сайте;

- Идентификации Клиента, зарегистрированного на сайте, для оформления заказа и (или) заключения Договора купли-продажи товара (оказания услуг) с Обществом;

- Предоставления Пользователю доступа к персонализированным ресурсам Сайта;

- Определения места нахождения Пользователя для обеспечения безопасности, предотвращения мошенничества;

- Подтверждения достоверности и полноты персональных данных, предоставленных Пользователем;

- Создания учетной записи для совершения покупок, если Пользователь дал согласие на создание учетной записи;

- Обработки и получения платежей;

- Предоставления Пользователю эффективной клиентской и технической поддержки при возникновении проблем связанных с использованием Сайта;

- Предоставления доступа Пользователю на сайты или сервисы партнеров Сайта с целью поставки товара (оказания услуг).

3.3. Общество является лицом, организующим обработку Данных для нижеуказанных Операторов:

3.3.1. органы власти, государственные внебюджетные фонды, в которые перечисляются средства Работников или средства для зачисления на счет Работников (органы федеральной налоговой службы РФ, органы пенсионного форда РФ, федерального фонда обязательного медицинского страхования, фонда социального страхования и т.д.).

3.3.2. военные комиссариаты, которым персональные данные передаются в случаях, предусмотренных действующим законодательством РФ.

Указанным выше Операторам персональные данные предоставляются (передаются) в объеме, определенном федеральными законами, соответствующими органами власти и государственными внебюджетными фондами в пределах их полномочий.

4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ДАННЫХ

4.1. Обработка и обеспечение безопасности Данных в Обществе осуществляется в соответствии с требованиями Конституции Российской Федерации, действующего законодательства РФ, а также иных руководящих и методических документов ФСТЭК России и ФСБ России.

4.2. Общество осуществляет обработку Данных субъектов в целях осуществления возложенных на Общество законодательством Российской Федерации функций, полномочий и обязанностей в соответствии с федеральными законами, в том числе, но не ограничиваясь: Гражданским кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Семейным кодексом Российской Федерации, Федеральным законом от 01.04.1996 N 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральным законом от 28.03.1998 г. № 53-ФЗ «О воинской обязанности и военной службе», Федеральным законом от 26.02.1997 г. № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации», Федеральный закон от 26.12.1995 N 208-ФЗ «Об акционерных обществах», Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете», Федеральным законом от 29.11.2010 N 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», а также операторами Данных, уставом и локальными актами Общества.

4.3. Обработка Данных осуществляется с согласия субъекта на обработку персональных данных, за исключением случаев, установленных законодательством РФ, в которых согласие субъекта не является обязательным условием обработки Данных.

5. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. При обработке Персональных данных Общество придерживается следующих принципов:

- обработка персональных данных осуществляться на законной и справедливой основе;

- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

- обработке подлежат только персональные данные, которые отвечают целям их обработки;

- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки;

- при обработке персональных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки;

- общество обязуется принимать необходимые меры (обеспечивать их принятие) по удалению или уточнению неполных или неточных данных;

- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен законодательством РФ и/или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

- обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.

6. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ. КАТЕГОРИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, и не быть избыточными по отношению к заявленным целям их обработки.

6.2. Общество не осуществляет обработку Данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах.

6.3. Общество может осуществлять обработку данных о состоянии здоровья субъекта Персональных данных в следующих случаях:

6.3.1. в соответствии с действующим законодательством РФ, в т.ч. о государственной социальной помощи, трудовым, о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях, об обязательных видах страхования, со страховым законодательством;

6.3.2. для осуществления прав работника или третьих лиц, а равно и в связи с осуществлением правосудия;

6.4. Биометрические Данные Обществом не обрабатываются.

6.5. Субъектами Персональных данных, обрабатываемых Обществом, а также перечень обрабатываемых персональных данных для каждой категории субъекта являются:

6.5.1. Работников Общества – ФИО, дата, месяц и год рождения, место рождения, адрес (проживания, регистрации), паспортные данные, сведения о семейном, социальном, имущественном положении, составе семьи, сведения об образовании, профессии, о предыдущих местах работы, доходах, номер телефона, адрес электронной почты для связи, ИНН, СНИЛС, сведения о воинской обязанности, данные водительского удостоверения, данные расчётного счета.

6.5.2. Родственников работников - ФИО, дата, месяц и год рождения, место рождения, адрес (проживания, регистрации).

6.5.3. Кандидатов на вакантные должности Общества - ФИО, дата, месяц и год рождения, место рождения, адрес (проживания, регистрации), сведения о семейном, сведения об образовании, профессии, о предыдущих местах работы, номер телефона, адрес электронной почты для связи, информация о кандидатах на вакантные должности, оставленная такими кандидатами при заполнение анкеты, включая информацию, содержащуюся в резюме кандидата.

6.5.4. Исполнителей - ФИО, дата, месяц и год рождения, место рождения, адрес (проживания, регистрации), паспортные данные, номер телефона, адрес электронной почты для связи, ИНН, СНИЛС, данные расчётного счета.

6.5.5. Физических лиц, входящих в органы управления Общества, не являющихся его работниками - ФИО, дата, месяц и год рождения, место рождения, адрес (проживания, регистрации), паспортные данные, номер телефона, адрес электронной почты для связи, ИНН, СНИЛС, данные расчётного счета.

6.5.6. Акционеров – ФИО, дата, месяц и год рождения, место рождения, адрес (проживания, регистрации), паспортные данные, номер телефона, адрес электронной почты для связи, ИНН, СНИЛС, данные расчётного счета.

6.5.7. Контрагентов Общества (их представителей) - номер телефона, адрес электронной почты для связи, данные расчётного счета, а также:

 – ФИО, дата, месяц и год рождения, место рождения, адрес (проживания, регистрации), паспортные данные, ИНН, СНИЛС - для физических лиц;

- ФИО, дата, месяц и год рождения, место рождения, адрес (проживания, регистрации), паспортные данные, ИНН, ОГРНИП - для индивидуальных предпринимателей;

- наименование, ИНН, ОГРН, адрес местонахождения - для юридических лиц.

6.5.8. Аффилированных лиц - ФИО, дата, месяц и год рождения, адрес (проживания, регистрации), паспортные данные, ИНН.

6.5.9. Выгодоприобретателей – ФИО, дата, месяц и год рождения, место рождения, адрес (проживания, регистрации), паспортные данные, номер телефона, адрес электронной почты для связи, ИНН, СНИЛС.

6.5.10. Физических лиц, Данные которых обрабатываются в интересах третьих лиц – данные предусмотренные договором, на основании которого осуществляется обработка.

6.5.11. Клиентов - ФИО, дата, месяц и год рождения, адрес (регистрации, проживания), номер телефона, адрес электронной почты для связи.

7. УСЛОВИЯ И СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Обработка персональных данных осуществляется с условием соблюдения принципов обработки, установленных действующим законодательством РФ и настоящей Политикой.

7.2. Обработка персональных данных Обществом допускается в следующих случаях: 

- при наличии согласия субъекта персональных данных на обработку его персональных данных;

- обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей. К таким случаям, в том числе относится, но не ограничивается, обработка Данных Работников для достижения целей, предусмотренных Трудовым кодексом Российской Федерации, обработка персональных данных Лиц, действующих в интересах и по поручению клиентов, Представителей контрагентов и др.;

- для исполнения договора, стороной которого или выгодоприобретателем является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем;

- для преддоговорной работы - работы по подбору персонала, в которой согласие субъекта на обработку подтверждается собственноручно заполненной анкетой кандидата на должность или анкетой (резюме), переданной им в Общество, специализированную организацию по подбору персонала, размещенной субъектом на специализированных сайтах в информационно-телекоммуникационной сети Интернет или присланной субъектом Оператору по электронной почте, а также работа по заключению договоров с Клиентами-физическими лицами и договоров, по которым физические лица являются Выгодоприобретателями;

- обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах, а также необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

- обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

- обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона № 152-ФЗ, при условии обязательного обезличивания персональных данных;

- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);

- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

7.3. Передача персональных данных третьим лицам для выполнения договорных обязательств осуществляется только с согласия субъекта персональных данных.

7.4. Оператор вправе поручить обработку персональных данных другому лицу при выполнении следующих условий:

7.4.1. получено согласие субъекта на поручение обработки персональных данных другому лицу;

7.4.2. поручение обработки персональных данных осуществляется на основании заключаемого с этим лицом договора, разработанного с учетом требований Федерального закона РФ от 27 июля 2006 года № 152 «О персональных данных». Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных и несет ответственность перед Оператором. Оператор несет ответственность перед субъектом персональных данных за действия уполномоченного лица, которому Оператор поручил обработку персональных данных. При обработке персональных данных субъектов Оператора руководствуется Федеральным законом РФ от 27 июля 2006 года № 152 «О персональных данных».

7.5. Общество вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

7.6. Общество вправе осуществлять передачу Персональных данных третьим лицам в случаях, предусмотренных действующим законодательством Российской Федерации.

7.7. Общество не осуществляет трансграничную передачу Данных.

7.8. Обработка Данных Обществом осуществляется как с использованием, так и без использования средств автоматизации.

7.9. В ООО «Серебряная Роса» запрещается принятие на основании исключительно автоматизированной обработки Данных решений, порождающих юридические последствия в отношении субъекта Данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных действующих законодательством Российской Федерации.

8. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ.

8.1. Персональные данные актуализируются Обществом, если подтвержден факт неточности персональных данных, неправомерности обработки.

8.2. При получении от субъекта персональных данных (его представителя) сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными Общество вносит в Данные необходимые изменения в срок, не превышающий семи рабочих дней со дня предоставления таких сведений.

8.3. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных (его представителем) сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Общество уничтожает такие персональные данные.

8.4. Оператор уведомляет субъекта персональных данных (его представителя) о внесенных изменениях и предпринятых мерах.

8.5. Оператор сообщаем в уполномоченный орган по защите прав субъектов персональных данных, по запросу данного органа, необходимую информацию в течение срока, установленного действующим законодательством РФ.

8.6. В случае выявления неправомерной обработки персональных данных при обращении (по запросу) субъекта персональных данных (его представителя) Общество осуществляет (обеспечивает) блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки.

8.7. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором (лицом, действующим по поручению оператора) Общество в срок, не превышающий трех рабочих дней с даты обнаружения, прекращает (обеспечивает прекращение) неправомерную обработку персональных данных. Если обеспечить правомерность обработки персональных данных невозможно, то Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает (обеспечивает их уничтожение) такие персональные данные.

8.8. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор уведомляет субъекта персональных данных (его представителя), а в случаях, установленных действующим законодательством РФ – уполномоченный орган.

8.9. В случае выявления неточных персональных данных при обращении (по запросу) субъекта персональных данных (его представителя), уполномоченного органа Оператор осуществляет (обеспечивает) блокирование персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения (получения запроса уполномоченного органа) на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц. При подтверждении факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных (его представителем), уполномоченным органом, или иных необходимых документов уточняет (обеспечивает уточнение) персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает их блокирование.

8.10. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Общество прекращает (обеспечивает прекращение) их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки, уничтожает (обеспечивает уничтожение) персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку Данных Общество вправе продолжить обработку персональных данных без согласия субъекта при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона.

8.11. При обращении субъекта персональных данных (его представителя), а также уполномоченного органа Общество сообщает в порядке, предусмотренном статьей 14 Закона, субъекту персональных данных (его представителю) информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных. Сведения, указанные в части 7 статьи 14 Закона, предоставляются субъекту персональных данных или его представителю при обращении субъекта персональных данных (его представителя) либо при получении запроса субъекта персональных данных или его представителя. Запрос составляется в произвольной форме, но должен содержать нижеуказанные сведения:

- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;

- сведения о дате выдачи указанного документа и выдавшем его органе;

- сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо 

- сведения, иным образом подтверждающие факт обработки персональных данных Оператором;

- подпись субъекта персональных данных или его представителя.

Срок предоставления сведений определяется действующим законодательством РФ.

8.12. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных (его представителю) при их обращении (при получении запроса) Общество в письменной форме предоставляет мотивированный ответ, содержащий ссылку на положение действующего законодательства РФ, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных (его представителя) либо с даты получения запроса.

8.13. Указанные сведения предоставляются субъекту персональных данных Обществом в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

8.14. Субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений и ознакомления с ними не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен законодательством РФ, и/или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. Субъект персональных данных вправе обратиться повторно к Оператору (направить ему повторный запрос) до истечения 30-тидневного срока, в случае, если сведения (Данные) не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения.

8.15. Оператор безвозмездно предоставляет субъекту персональных данных (его представителю) возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.

8.16. Общество вправе отказать субъекту персональных данных в выполнении повторного запроса на предоставление сведений указанных в части 7 статьи 14 Закона, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Закона. Такой отказ должен быть мотивированным.

9. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Общество не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, за исключением случаев, когда действующим законодательством РФ предусмотрена обязанность Оператора по раскрытию Данных.

9.2. Общество обеспечивает конфиденциальность обрабатываемых им персональных данных порядком, предусмотренным законодательством Российской Федерации.

Обеспечение конфиденциальности не требуется в отношении: 

- персональных данных после их обезличивания; 

- персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных); 

- персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации. 

10. СОГЛАСИЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. 

10.2. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законодательством. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных Общество проверяет полномочия данного представителя на дачу согласия от имени субъекта персональных данных.

10.3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ «О персональных данных».

10.4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

10.5. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

10.6. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

11. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Субъект Персональных данных имеет право:

11.1. На доступ к его персональным данным, а именно:

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных Оператором;

- правовые основания и цели обработки персональных данных;

- цели и применяемые Оператором способы обработки персональных данных;

- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании законодательства РФ;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством РФ;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных Законом;

- информацию о осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные действующим законодательством РФ.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством РФ, в том числе если:

- обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

- обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

- обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

- доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

- обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

11.2. Требовать от Оператора уточнения его персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

11.3. При обработке их персональных данных в целях продвижения товаров, услуг на рынке:

- Обработка персональных данных в целях продвижения товаров, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, допускается только при условии предварительного согласия субъекта персональных данных.

11.4. На обжалование действий или бездействия Общества.

Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований действующего законодательства РФ или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора.

12. ОБЯЗАННОСТИ ОБЩЕСТВА

Обязанности Общества

12.1. При сборе персональных данных:

12.1.1. Оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Закона.

12.1.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Общество разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

12.1.3. Если персональные данные получены не от субъекта персональных данных, Оператор, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

- наименование либо фамилия, имя, отчество и адрес оператора (его представителя);

- цель обработки персональных данных и ее правовое основание;

- предполагаемые пользователи персональных данных;

- установленные Законом права субъекта персональных данных;

- источник получения персональных данных.

12.1.4. Общество освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные подпунктом 12.1.3. настоящей Политики, в случаях, если:

- субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

- персональные данные получены оператором на основании законодательства РФ и/или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

- персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

- оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

- предоставление субъекту персональных данных сведений нарушает права и законные интересы третьих лиц.

12.1.5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

13. СРОКИ ОБРАБОТКИ (ХРАНЕНИЯ) ПЕРСОНАЛЬНЫХ ДАННЫХ

13.1. Сроки обработки (хранения) Данных определяются исходя из целей обработки персональных Данных, в соответствии со сроком действия договора с субъектом Данных, требованиями законодательства РФ, требованиями операторов Данных, по поручению которых Общество осуществляет обработку Данных, основными правилами работы архивов организаций, сроками исковой давности.

13.2. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения Данных не установлен действующим законодательством РФ и/или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

13.3. Персональные Данные, срок обработки которых истек, должны быть уничтожены, если иное не предусмотрено Законом. Хранение Данных после прекращения их обработки допускается только после их обезличивания.

13.4. В случае достижения цели обработки персональных данных Оператор прекращает (обеспечивает прекращение) обработку персональных данных и уничтожает (обеспечивает уничтожение) персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных.

13.5. При осуществлении хранения персональных данных Оператор персональных данных обязан использует базы данных, находящиеся на территории Российской Федерации.

14. ОСОБЕННОСТИ ОБРАБОТКИ И ЗАЩИТЫ ДАННЫХ, СОБИРАЕМЫХ ОБЩЕСТВОМ С ИСПОЛЬЗОВАНИЕМ СЕТИ ИНТЕРНЕТ.

14.1. Настоящая глава действует в отношении всей информации, размещенной на сайте www.srosa.ru (далее по тексту Сайт), а также в мобильных приложениях (Серебряная роса-заказ воды), которую Общество может получить о Пользователе во время использования Сайта, в т.ч. его программ и продуктов, а также на адреса корпоративной электронной почты Общества, заканчивающиеся на @srosa.ru.

14.2. Использование Пользователем сайта означает согласие с настоящей Политикой и условиями обработки персональных данных Пользователя.

14.3. В случае несогласия с условиями Политики конфиденциальности Пользователь должен прекратить использование сайта.

14.4. Общество обрабатывает и защищает Данные, поступающие от пользователей Сайта, а также полученные на адреса корпоративной электронной почты Общества, заканчивающиеся на @srosa.ru.

14.5. Целя сбора, способы и сроки обработки, способы защиты персональных данных, полученных посредством сети Интернет, установлены настоящей Политикой.

14.6. Сбор Данных

Существуют два основных способа, с помощью которых Оператор получает Данные с помощью сети Интернет:

14.6.1. Предоставление Данных

Предоставление Данных (включая фамилию, имя, отчество, контактный телефон, адрес электронной почты, адрес и др.) субъектами персональных Данных путем заполнения соответствующих форм на Сайте посредством направления Данных на корпоративный сервер Общества по выделенному интернет каналу, а также путем направления Данных на корпоративный адрес электронной почты Общества.

14.6.2. Автоматически собираемая информация

Оператор может собирать и обрабатывать сведения, не являющимися персональными данными:

- информацию об интересах пользователей на Сайте на основе введенных поисковых запросов пользователей Сайта о реализуемых и предлагаемых к продаже товаров Обществом с целью предоставления актуальной информации клиентам Общества при использовании Сайта, а также обобщения и анализа информации, о том какие разделы Сайта и товары пользуются наибольшим спросом у клиентов Общества;

- обработка и хранение поисковых запросов пользователей Сайта с целью обобщения и создания клиентской статистики об использовании разделов Сайта.

Общество автоматически получает некоторые виды информации, получаемой в процессе взаимодействия пользователей с Cайтом, переписки по электронной почте и т. п. Речь идет о технологиях и сервисах, таких как веб-протоколы, куки, веб-отметки, а также приложения и инструменты указанной третьей стороны.

- Куки. Куки – это часть данных, автоматически располагающаяся на жестком диске компьютера при каждом посещении веб-сайта. Таким образом, куки – это уникальный идентификатор браузера для веб-сайта. Куки дают возможность хранить информацию на сервере и помогают легче ориентироваться в веб-пространстве, а также позволяют осуществлять анализ сайта и оценку результатов. Большинство веб-браузеров разрешают использование куки, однако можно изменить настройки для отказа от работы с куки или отслеживания пути их рассылки. При этом некоторые ресурсы могут работать некорректно, если работа куки в браузере будет запрещена.

- Веб-отметки. На определенных веб-страницах или электронных письмах Общества может использовать распространенную в Интернете технологию «веб-отметки» (также известную как «тэги» или «точная GIF-технология»). Веб-отметки помогают анализировать эффективность веб-сайтов, например, с помощью измерения числа посетителей сайта или количества «кликов», сделанных на ключевых позициях страницы сайта.

При этом веб-отметки, куки и другие мониторинговые технологии не дают возможность автоматически получать Данные. Если пользователь Сайта по своему усмотрению предоставляет свои Данные, например, при заполнении формы обратной связи или при отправке электронного письма, то только тогда запускаются процессы автоматического сбора подробной информации для удобства пользования веб-сайтами и/или для совершенствования взаимодействия с пользователями.

14.7. Использование Данных

Оператор вправе пользоваться предоставленными Данными в соответствии с заявленными целями их сбора при наличии согласия субъекта Данных, если такое согласие требуется в соответствии с требованиями законодательства Российской Федерации в области Данных.

Полученные Данные в обобщенном и обезличенном виде могут использоваться для лучшего понимания потребностей покупателей товаров и услуг, реализуемых Оператором и улучшения качества обслуживания, а также обратной связи с Покупателями с целью информирования о новостях Общества.

14.8. Передача Данных

Оператор может поручать обработку Данных третьим лицам исключительно с согласия субъекта Данных.

Также Данные могут передаваться третьим лицам в следующих случаях:

а) B качестве ответа на правомерные запросы уполномоченных государственных органов, в соответствии с законами, решениями суда и пр.

б) Данные не могут передаваться третьим лицам для маркетинговых, коммерческих и иных аналогичных целей, за исключением случаев получения предварительного согласия субъекта Данных.

14.9. Сайт содержит ссылки на иные веб-ресурсы, где может находиться полезная и интересная для пользователей Сайта информация, в том числе ссылки на такие ресурсы как:

http://vk.com/dostavkavodi; http://www.youtube.com/srosaru. При этом действие настоящей Политики не распространяется на такие сайты. Пользователям, переходящим по ссылкам на другие сайты, рекомендуется ознакомиться с политикой обработки Данных, размещенными на данных сайтах.

14.10. Пользователь Сайта может в любое время отозвать свое согласие на обработку Данных, направив электронное сообщение по адресу электронной почты: admin@srosa.ru, либо направив письменное уведомление по адресу Общества: 160000, Вологда, ул. Предтеченская, д. 67.

15. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

15.1. Настоящий раздел устанавливает перечень требований, реализуемых ООО «Серебряная Роса» при защите Персональных данных при их обработке в информационных системах персональных данных (далее - информационные системы) и уровни защищенности таких данных.

15.2. Важнейшим условием реализации целей деятельности ООО «Серебряная Роса» является обеспечение необходимого и достаточного уровня безопасности информационных систем персональных данных, соблюдения конфиденциальности, целостности и доступности обрабатываемых данных и сохранности носителей сведений, содержащих персональные данные на всех этапах работы с ними.

15.3. Созданные и используемые Обществом условия и режим защиты информации, отнесенной к персональным данным, позволяют обеспечить защиту обрабатываемых персональных данных.

15.4. Безопасность персональных данных при их обработке обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».

15.5. Выбор средств защиты информации для системы защиты персональных данных осуществляется Обществом в соответствии с нормами действующего законодательства РФ.

15.6. В обществе используются следующие информационные системы:

15.6.1. сайт srosa.ru;

15.6.2. 1С предприятие 8 (конфигурации бухгалтерия, управление торговли, зарплата).

15.7. Для вышеуказанных информационных систем определяется тип угрозы безопасности персональных данных, с учетом оценки возможного вреда, и в соответствии с нормативными правовыми актами РФ - 3тип угрозы.

15.8. В соответствии с Постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» ООО «Серебряная Роса» обеспечивает 4-ый уровень защищенности персональных данных при их обработке в указанных информационных системах.

15.9. Система защиты персональных данных включает в себя организационные и/или технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий.

15.10. Защита персональных данных, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований законодательства в области защиты персональных данных. В состав мер по обеспечению безопасности персональных данных входят:

15.10.1. Правовые меры:

- разработка Обществом локальных актов, реализующих требования законодательства РФ;

- отказ от любых способов обработки персональных данных, не соответствующих определенным в настоящей Политике целям;

- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Закона.

15.10.2. Организационные меры:

- назначение лица, ответственного за организацию обработки персональных данных, а также администратора по обеспечению безопасности персональных данных;

- утверждение документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими трудовых обязанностей;

- ознакомление работников с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, а также локальными актами Общества по вопросам обработки персональных данных;

- определение в должностных инструкциях работников обязанностей по обеспечению безопасности обработки персональных данных и ответственности за нарушение установленного порядка;

- внутренний контроль на соответствие обработки персональных данных требованиях законодательства РФ, локальным актам Общества;

- идентификация и аутентификация (проверка принадлежности субъекту доступа предъявленного им идентификатора (подтверждение подлинности) субъектов и объектов доступа, а именно работников общества и третьих лиц. Указанные меры обеспечиваются путём присвоения субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности). В состав мер в частности входит управление идентификаторами (в т.ч. создание, присвоение, уничтожение идентификаторов), управление средствами аутентификации (в т.ч. хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации), защита обратной связи при вводе аутентификационной информации;

- организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

- управление доступом субъектов доступа к объектам доступа. Данные меры реализуются путем управлением учетными записями пользователей (в том числе внешних пользователей), реализацией необходимых методов, типов и правил разграничения доступа, управлением информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами, разделением полномочий пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы, назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы, ограничением неуспешных попыток входа в информационную систему (доступа к информационной системе), реализацией защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети, регламентацией и контролем использования в информационной системе технологий беспроводного доступа, мобильных технических средств, управлением взаимодействия с информационными системами сторонних организаций (внешние информационные системы);

- определение типа угроз безопасности данных с учетом оценки возможного вреда субъектам персональных данных, который может быть причинен в случае нарушения требований безопасности, определение уровня защищенности персональных данных.

15.10.3. Технические меры:

- обеспечение сохранности носителей персональных данных, а также организация учёта материальных носителей персональных данных и их хранения, обеспечивающая предотвращение хищения, подмены, несанкционированного копирования и уничтожения;

- разработка системы защиты персональных данных, обеспечивающей установленные уровни защищенности персональных данных;

- использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;

- оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных. Указанная оценка проводится не реже одного раза в 3 года;

 - регистрация и учёт действий c персональными данными пользователей информационных систем, где обрабатываются персональные данные;

- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (систему резервного копирования и восстановления персональных данных);

- регистрация событий безопасности, что обеспечивает сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них. К таким мерам относятся определение событий безопасности, подлежащих регистрации, и сроков их хранения, определение состава и содержания информации о событиях безопасности, подлежащих регистрации, сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения, защита информации о событиях безопасности.

- антивирусная защита, что обеспечивает обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации и реализуются путем реализация антивирусной защиты и обновлением базы данных признаков вредоносных компьютерных программ (вирусов);

- контроль (анализ) защищенности персональных данных. Указанная мера обеспечивается путем контроля установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации.

- защита среды виртуализации. Данная мера реализуется путем идентификации и аутентификации субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации, управления доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин.

- защита технических средств. Данная мера предназначена для исключения несанкционированного доступа к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее по тексту средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей. Мера реализуется путем контроля и управления физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения, в которых они установлены, а также размещения устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр.

- защита информационной системы, ее средств, систем связи и передачи данных, и реализуется путем обеспечения защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи.

15.11. в целях предотвращения, а также выявления нарушений законодательства в отношении обработки персональных данным Общество реализует нижеуказанные процедуры:

15.11.1. реализация мер, направленных на обеспечение выполнения Обществом своих обязанностей;

15.11.2. выполнение предусмотренных законодательством в области персональных данных обязанностей, возложенных на Общество;

15.11.3. личная ответственность работников Общества, осуществляющих обработку и/или имеющих доступ к персональным данным;

15.11.4. организация рассмотрения запросов субъектов персональных данных или их представителей и ответов на такие запросы;

15.11.5. организация внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным действующим законодательством в области персональных данных и локальными актами Общества;

15.11.6. проведение необходимых мероприятий по обеспечению безопасности персональных данных и носителей их содержащих;

15.11.7. проведение периодических проверок условий обработки персональных данных;

15.11.8. повышение осведомленности работников, занимающих должности, замещение которых предусматривает осуществление обработки персональных данных и/или имеющих доступ к персональным данным, путем их ознакомления, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами Общества по вопросам обработки персональных данных;

15.11.9. блокирование, внесение изменений и уничтожение персональных данных в предусмотренных действующим законодательством в области персональных данных случаях;

15.11.10. оповещение субъектов персональных данных в предусмотренных действующим законодательством в области персональных данных случаях;

15.11.11. разъяснение прав субъектам персональных данных в вопросах обработки и обеспечения безопасности их персональных данных;

15.11.12. оказание содействия правоохранительным органам, в случаях нарушений законодательства в отношении обработки персональных данных;

15.12. Указанный перечень процедур, направленных на предотвращение и выявление нарушений законодательства в отношении обработки персональных данных и устранение таких последствий может дополняться мероприятиями в конкретных случаях.

15.13. Общество организует и проводит контроль за выполнением требований для обеспечения защищенности персональных данных при их обработке в информационных системах самостоятельно и/или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года.

16. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

16.1. Общество вправе вносить изменения в настоящую Политику. При внесении изменений в наименовании Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с 01 января 2017 года.

16.2. К настоящей Политике и отношениям между Сторонами применяются нормы действующего законодательства РФ.

16.3. Настоящая Политика является локальным нормативным актом, является общедоступной.

16.4. Настоящая политика подлежит опубликованию в сети Интернет.