ПОЛИТИКА ЗАЩИТЫ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ООО «Комплекс-ойл»


1. Общие положения

1.1. Настоящая Политика защиты и обработки персональных данных (далее – Политика) составлена в соответствии с пунктом 2 статьи 18.1 Федерального закона «О персональных данных» No 152-ФЗ от 27 июля 2006 г., а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – Данные), которые ООО «Комплекс-ойл» (далее – Оператор, Общество) может получить от субъекта персональных данных.

1.2. Настоящая Политика действует в отношении Оператора – ООО «Комплекс-ойл» ИНН 5035033768, ОГРН 1065035000513, расположенного по адресу: 142500, Московская область, Павлово-Посадский р-он, г. Павловский Посад, пер. Дзержинского, д. 5, пом. 4, и распространяется на всех сотрудников Оператора, лиц, работающих по гражданско-правовым договорам, а также на всех третьих лиц в случае их участия в обработке персональных данных Оператора в порядке, установленном законодательством РФ.

1.3. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или их утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. No 152-ФЗ «О персональных данных».

2. Термины и определения

2.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.3. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.4. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.5. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.6. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.7. Оператор – юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

3. Принципы и цели обработки персональных данных

3.1. Принципы обработки персональных данных:

3.1.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

3.1.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.

3.1.3. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

3.1.4. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

3.1.5. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, не дольше срока, установленного законодательством РФ или сторонами договора.

3.1.6. Уничтожение персональных данных осуществляются в сроки, установленные в настоящей Политике и действующем законодательстве РФ.

3.2. Цели обработки персональных данных:

3.2.1. Соблюдение законодательства РФ и локальных нормативно-правовых актов, регулирующих вопросы, касающиеся обработки персональных данных.

3.2.2. Заключение, исполнение и прекращение договоров с субъектами персональных данных.

3.2.3. Регулирование трудовых отношений с работниками Оператора (обеспечение соблюдения законов и иных нормативных правовых актов, содействие Работникам и кандидатам в трудоустройстве, обучении, оценке, контроль количества и качества выполняемой работы, соблюдение положений трудового законодательства Российской Федерации и иных актов, содержащих нормы трудового права).

3.2.4. Регистрация субъекта персональных данных в программе лояльности Оператора, реализация участия субъектов персональных данных в программах лояльности и предоставление субъектам персональных данных доступа к услугам и сервисам, предлагаемым программами лояльности.

3.2.5. Реализация участия субъектов персональных данных в маркетинговых акциях, а также для маркетинговых коммуникаций с ними посредством: SMS-сообщений, сообщений электронной почты, почтовой и телефонной связи, сообщений из мобильного приложения (push-сообщения).

3.2.6. Осуществление функций, полномочий и обязанностей, возложенных действующим законодательством Российской Федерации на оператора, в том числе по предостав лению персональных данных работников, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы.

3.2.7. В иных целях в установленном законодательством РФ порядке.

4. Нормативно-правовые акты РФ, в соответствии с которыми Оператор осуществляет обработку персональных данных

4.1. Политика обработки персональных данных Оператора определяется следующими нормативно- правовыми актами:

4.1.1. Федеральный закон от 27 июля 2006 г. No 152-ФЗ «О персональных данных»;

4.1.2. «Трудовой кодекс Российской Федерации» от 30.12.2001 N 197-ФЗ;

4.1.3. Постановление Правительства Российской Федерации от 15 сентября 2008 г. No 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

4.1.4. Постановление Правительства Российской Федерации от 1 ноября 2012 г. No 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

4.1.5. Иные нормативно-правовые акты РФ, обязательные для Оператора;

4.1.6. Локальные нормативные акты, регулирующие в Обществе вопросы, касающиеся обработки персональных данных.

5. Субъекты, персональные данные которых обрабатываются Оператором, и перечень персональных данных, которые обрабатывает Оператор

5.1. Обработке подлежат персональные данные следующих субъектов:

5.1.1. сотрудники Оператора, члены их семей, бывшие сотрудники Оператора и кандидаты на замещение вакантных должностей;

5.1.2. физические лица, с которыми Оператор заключает гражданско-правовые договоры; 5.1.3. физические лица, которые пользуются услугами Оператора (потребители);

5.1.4. иные субъекты персональных данных, обработка которых производится в целях согласно п. 3.2 настоящей Политики.

5.2. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.

5.3. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.

5.4. Перечень персональных данных, обрабатываемых Оператором, определяется в соответствии с нормативно-правовыми актами РФ, указанными в разделе 4 настоящей Политики и для целей обработки персональных данных, предусмотренных в п. 3.2 настоящей Политики.

6. Действия, которые Оператор осуществляет с персональными данным субъектов

6.1. Оператор осуществляет обработку персональных данных субъектов, а именно: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

7. Права субъектов персональных данных

7.1. Субъекты персональных данных имеют следующие права:

7.1.1. Право на доступ к его персональным данным;

7.1.2. Право на получение информации, касающейся обработки его персональных данных;

7.1.3. Право требовать от Оператора уточнения персональных данных, их блокирование и уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

7.1.4. Право на отзыв своего согласия на обработку персональных данных;

7.1.5. Право на обжалование действий или бездействий Оператора;

7.1.6. На осуществление иных прав, установленных законодательством РФ.

8. Обязанности Оператора

8.1. При сборе персональных данных предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;

8.2. Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему Политику Оператора в отношении обработки персональных данных;

8.3. Принимать необходимые правовые, организационные и технические меры для защиты персональных данных;

8.4. Хранить персональные данные, блокировать и уничтожать в порядке, установленном действующим законодательством РФ;

8.5. При сборе персональных данных, в том числе посредством информационно- телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законодательством.

8.6. Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные, если предоставление персональных данных является обязательным в соответствии с требованиями действующего законодательства РФ.

8.7. Осуществлять иные обязанности, установленные действующим законодательством РФ.

9. Способы обработки персональных данных

9.1. Обработка персональных данных осуществляется следующими способами: 9.1.1. неавтоматизированная обработка персональных данных;

9.1.2. автоматизированная обработка персональных данных;

9.1.3. смешанная обработка персональных данных.

10. Порядок обработки персональных данных

10.1. Обработка персональных данных осуществляется:

10.1.1. С согласия субъекта персональных данных на обработку его персональных данных;

10.1.2. В случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;

10.1.3. В случаях, когда обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных;

10.1.4. В случаях, когда субъект персональных данных предоставляет доступ к своим персональным данным неограниченному кругу лиц;

10.2. Оператор вправе поручить обработку персональных данных субъекта третьему лицу на основании заключенного с третьим лицом договора при наличии согласия субъекта персональных данных.

11. Обеспечение безопасности при обработке персональных данных

11.1. Меры, принимаемые Оператором, по защите персональных данных субъектов:

11.1.1. Назначение Оператором ответственного за организацию обработки персональных данных и установление правил доступа к персональным данным;

11.1.2. Издание Оператором документов, определяющих Политику Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;

11.1.3. Применение правовых, организационных и технических мер по обеспечению безопасности и защиты персональных данных;

11.1.4. Осуществление внутреннего контроля соответствия обработки персональных данных требованиям действующего законодательства РФ, Политике Оператора в отношении обработки персональных данных, локальным актам Оператора;

11.1.5. Проведение оценки вреда, который может быть причинен в случае нарушения безопасности персональных данных субъекта, а также определение актуальной угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;

11.1.6. Обеспечение неограниченного доступа к документу, определяющему Политику Оператора в отношении обработки персональных данных;

11.1.7. Получение согласий субъектов персональных данных на обработку их персональных данных, если иное не предусмотрено действующим законодательством РФ;

11.1.8. Хранение персональных данных с соблюдением условий, предотвращающих несанкционированный доступ к ним;

11.1.9. Осуществление иных мер, установленных законодательством РФ.

12. Хранение персональных данных

12.1. Персональные данные субъектов могут быть получены, обработаны и передаваться на хранение как на бумажных носителях, так и в электронном виде.

12.2. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по достижении целей обработки, истечения срока действия согласия субъекта на обработку персональных данных, в случае отзыва согласия субъекта персональных данных и в иных случаях, установленных законодательством РФ.

13. Уничтожение персональных данных

13.1. Уничтожение персональных данных осуществляется в следующие сроки:

13.1.1. При достижении целей обработки персональных данных или максимальных сроков хранения - в течение 30 (Тридцати) дней.

13.1.2. При подтверждении того, что персональные данные обрабатываются неправомерно и при невозможности обеспечения правомерности обработки персональных данных - в течение 10 (Десяти) рабочих дней.

13.1.3. В случае отзыва субъектом персональных данных согласия на обработку персональных данных - в течение 30 (Тридцати) дней.

13.1.4. В иные сроки, предусмотренные действующим законодательством РФ.

13.2. Персональные данные в электронном виде уничтожаются путем удаления без возможности восстановления, в бумажном виде уничтожение производится путем шредирования.

14. Заключительные положения

14.1. Оператор имеет право вносить изменения в настоящую Политику в любое время в одностороннем порядке. Новая редакция Политики вступает в силу с даты утверждения ее приказом.