Политика

в отношении обработки персональных данных ООО «Хинкальная №1»

1.                                 Общие положения
1.1.                       Настоящая Политика обработки персональных данных (далее – Политика) разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) и определяет порядок обработки персональных данных и меры по обеспечению их безопасности, осуществляемые Обществом с ограниченной ответственностью «Хинкальная №1» (далее – Оператор). Оператор руководствуется также нормами Трудового кодекса РФ в части защиты персональных данных работников и иными применимыми нормативными актами.
1.2.                       Оператор признаёт своей обязанностью соблюдение прав и свобод человека и гражданина при обработке персональных данных, включая защиту права на неприкосновенность частной жизни, личную и семейную тайну. В целях защиты этих прав Оператор принимает необходимые меры и действует в рамках законодательства РФ о персональных данных.
1.3.                       Политика применяется ко всей информации о персональных данных субъектов, которую Оператор может получить при осуществлении своей деятельности. К таким субъектам относятся: посетители и пользователи веб-сайта Оператора estraki.ru, клиенты (заказчики) услуг Оператора, а также сотрудники Оператора. Настоящая Политика подлежит размещению в открытом доступе на официальном сайте Оператора (выполнение требования ч. 2 ст. 18.1 Закона о персональных данных), и Оператор обеспечивает неограниченный доступ к данному документу.
1.4.                       Термины и определения, используемые в Политике, соответствуют понятиям, изложенным в Законе о персональных данных. В частности, под персональными данными понимается любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных); обработка персональных данных – любое действие с персональными данными (сбор, запись, систематизация, хранение, уточнение, использование, передача, блокирование, уничтожение и т.д.); оператор – юридическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки. Иные используемые термины (субъект персональных данных, распространение, трансграничная передача, уничтожение данных и др.) трактуются в соответствии с законодательством о персональных данных.
1.5.                       Действие настоящей Политики распространяется на персональные данные, полученные как до, так и после введения в действие данного документа. Политика утверждается руководством Оператора и действует бессрочно до замены новой версией. Актуальная редакция Политики размещена на сайте Оператора и доступна неограниченному кругу лиц.
2.                                 Цели и правовые основания обработки персональных данных
2.1.                       Обработка персональных данных клиентов (заказчиков) осуществляется Оператором в следующих целях: - предоставление услуг общественного питания, организации приема и выполнения заказов на приготовление и доставку еды; - доставка заказов клиентам по указанным адресам, в том числе с привлечением сторонних курьерских служб; - обратная связь с клиентами для уточнения деталей заказа, подтверждения времени доставки, обработки отзывов, претензий или запросов; - исполнение договорных обязательств перед клиентом (например, доставка оплаченного заказа питания) и обеспечение расчётов за предоставленные услуги; - при наличии отдельного согласия субъекта – информирование клиента о новых продуктах, специальных предложениях и маркетинговых акциях Оператора.
Правовым основанием обработки персональных данных клиентов является, прежде всего, необходимость заключения и исполнения договора, стороной которого является субъект персональных данных (оформление и доставка заказа). В соответствии с подп. 5 ч. 1 ст. 6 Закона о персональных данных обработка допускается, когда она необходима для исполнения договора, выгодоприобретателем по которому является субъект данных. Таким образом, для выполнения заказа (договор возмездного оказания услуг) Оператор обрабатывает данные на законном основании без дополнительного согласия субъекта. В отдельных случаях Оператор запрашивает у клиента согласие на обработку его персональных данных – например, для обработки, не связанной напрямую с исполнением договора (рассылка рекламной информации, использование файлов cookie и средств веб-аналитики и др.). Случаи, в которых требуется получение согласия, определяются требованиями закона (ст. 6 Закона о персональных данных).
2.2.                       Обработка персональных данных сотрудников Оператора осуществляется исключительно в целях обеспечения трудовых отношений, то есть для ведения кадрового учёта, исполнения обязанностей работодателя, предусмотренных законодательством (оформление трудовых договоров, выплата заработной платы, начисление налогов и страховых взносов, предоставление отпусков, выполнение требований охраны труда и т.д.), а также для иных целей, связанных с управлением персоналом. Обработка данных сотрудников необходима Оператору для исполнения трудовых договоров, стороной которых являются субъекты данных (работники), а также для выполнения установленных законом обязанностей работодателя. Правовые основания такой обработки определяются трудовым законодательством и подп. 2 ч. 1 ст. 6 Закона о персональных данных – обработка необходима для исполнения возложенных законом функций и обязанностей Оператора, в частности требований законодательства о труде, налогов и страховых отчислений. В отдельных случаях работодатель запрашивает письменное согласие работника (например, на передачу его данных третьим лицам, не предусмотренную законом, либо на публикацию фотографии сотрудника на сайте компании и пр.).
2.3.                       Оператор не осуществляет обработку специальных категорий персональных данных (о расовом, национальном происхождении, политических взглядах, религии, здоровье, интимной жизни) и биометрических персональных данных в рамках своей основной деятельности – такие данные от клиентов не требуются. В исключительных случаях, когда обработка специальных категорий данных может потребоваться (например, сведения о состоянии здоровья работника для предоставления льгот или выполнения требований охраны труда), она проводится строго в соответствии с ст. 10 Закона о персональных данных на основании письменного согласия субъекта либо в случаях, прямо предусмотренных законодательством (например, обработка медицинских книжек сотрудников согласно требованиям санитарных правил). Оператор не осуществляет автоматизированного принятия решений, существенно влияющих на субъектов персональных данных (в том числе профилирования клиентов) без участия человека, за исключением случаев, предусмотренных законом или с согласия субъекта.
3.                                 Категории персональных данных, обрабатываемых Оператором
3.1.                       В отношении клиентов, оформляющих заказы через сайт estraki.ru либо иным способом, Оператор собирает и обрабатывает следующие персональные данные, необходимые для предоставления услуг: - фамилия, имя, отчество (при указании клиентом); - контактный телефон (для подтверждения заказа и связи по вопросам доставки); - адрес доставки заказа (город, улица, номер дома, квартиры и иные детали по необходимости); - адрес электронной почты (при онлайн-заказе через сайт или приложение, для отправки уведомлений о заказе, чеков и коммуникации с клиентом); - сведения о заказе (набор заказанных блюд, их стоимость, выбранный способ оплаты, комментарии к заказу); - иные данные, предоставленные самим клиентом по его усмотрению при оформлении заказа (например, предпочтительное время доставки, дополнительные пожелания к заказу).
Перечисленные данные являются необходимыми и достаточными для достижения указанных целей обработки – оказания услуг ресторана и доставки еды. Оператор не запрашивает у клиента избыточных данных, не относящихся к характеру предоставляемой услуги. В случае, если клиент предоставляет дополнительные сведения о себе по собственной инициативе, Оператор будет обрабатывать их только в объёме, необходимом для исполнения обязанностей перед клиентом либо в рамках согласия клиента.
3.2.                       Оператор обрабатывает персональные данные своих работников (а также соискателей, поступающих на работу, в случае их предоставления резюме и анкет) в объёме, предусмотренном трудовым законодательством и необходимом для кадрового делопроизводства. К таким данным относятся: - фамилия, имя, отчество; - дата и место рождения; - гражданство; - адрес места жительства (регистрации) и фактического проживания; - контактные данные (номера телефонов, адрес электронной почты); - реквизиты документа, удостоверяющего личность (паспорт: серия, номер, кем и когда выдан); - идентификационный номер налогоплательщика (ИНН), страховой номер индивидуального лицевого счёта (СНИЛС); - сведения об образовании, квалификации, стаже работы; - должность, структурное подразделение, информация о трудовом договоре и условиях работы; - данные о заработной плате и банковских реквизитах для её перечисления; - информация о выполнении трудовых обязанностей, поощрениях и взысканиях, отпусках, больничных и пр. (включая сведения о состоянии здоровья в объёме, допустимом трудовым законодательством – например, данные листков нетрудоспособности без диагноза).
Персональные данные работников собираются непосредственно у них при трудоустройстве (путём заполнения анкеты, предоставления копий документов) либо формируются в ходе работы (приказы о приёме, переводе, увольнении, данные о начислениях и т.д.). Обработка этих данных необходима для соблюдения требований Трудового кодекса РФ, налогового законодательства и обеспечения прав работников, и осуществляется на законных основаниях (ст. 86–90 ТК РФ, ст. 6 Закона о персональных данных).
3.3.                       В отношении посетителей и пользователей веб-сайта estraki.ru Оператор может автоматически собирать некоторые данные технического характера: IP-адрес, файлы cookie, сведения о типе браузера, времени доступа, геолокации и т.п. Обработка таких обезличенных данных файлов cookie и других аналогичных технологий производится в соответствии с целями функционирования сайта: для улучшения работы веб-сервиса, статистики посещаемости, сохранения пользовательских предпочтений. Указанные данные не позволяют Оператору идентифицировать личность посетителя, не объединяются с персональными данными, предоставляемыми непосредственно субъектом, и используются в обезличенном виде. Пользователь сайта имеет право настроить параметры приёма cookie в своём браузере; продолжение использования сайта без изменения настроек рассматривается как согласие пользователя на обработку таких данных.
4.                                 Условия и порядок обработки персональных данных
4.1.                       Обработка персональных данных Оператором осуществляется способами, соответствующими целям их сбора, с соблюдением принципов и правил, установленных законодательством РФ. Все действия с персональными данными производятся на законной и справедливой основе. Оператор стремится обеспечить точность и актуальность обрабатываемых данных, достаточность их объёма и недопущение избыточности по отношению к заявленным целям. Персональные данные собираются непосредственно у субъектов персональных данных (самих клиентов или работников) либо у их законных представителей. При сборе данных Оператор по запросу субъекта предоставляет сведения, предусмотренные ч. 7 ст. 14 Закона о персональных данных (информацию об Операторе, целях, правовых основаниях, предполагаемых третьих лицах-получателях, правах субъекта и иное).
4.2.                       Обработка персональных данных ведётся как с использованием средств автоматизации (в информационных системах Оператора, базах данных), так и без их использования (на бумажных носителях, в карточках, журналах учета). Для каждой операции с персональными данными определяются ответственные лица и осуществляется разграничение доступа. Оператор не осуществляет публичного распространения персональных данных клиентов и работников (за исключением случаев, когда субъект самостоятельно разместил данные для всеобщего сведения или дал на это отдельное согласие, как это предусмотрено ст. 6 и ст. 9.1 Закона о персональных данных). Обработка персональных данных осуществляется преимущественно на территории Российской Федерации. Если в отдельных случаях данные обрабатываются с использованием облачных сервисов или ресурсов вне территории РФ, такие действия квалифицируются как трансграничная передача и осуществляются в строгом соответствии с разделом 7 Политики и требованиями законодательства.
4.3.                       Персональные данные обрабатываются (хранятся) не дольше, чем этого требуют цели обработки, указанные в разделе 2 Политики. Иными словами, данные клиентов хранятся до выполнения доставки и окончания обслуживания по соответствующему заказу, после чего могут быть обезличены либо удалены, если необходимость в их сохранении отпадает. Однако Оператор может хранить отдельные данные о клиентах дольше, если это необходимо для исполнения требований законодательства (например, данные о платеже хранятся в рамках бухгалтерского учёта, фискальные документы – не менее сроков, установленных законом о бухгалтерии и налогах). Персональные данные сотрудников хранятся в течение всего срока их работы в организации, а после увольнения – в течение сроков, установленных архивным законодательством для кадровых документов (как правило, 50 или 75 лет для отдельных видов документов) либо иных обязательных сроков хранения. По достижении целей обработки или при наступлении условий, требующих удаления данных, Оператор уничтожает или обезличивает соответствующие персональные данные. Уничтожение персональных данных проводится способом, исключающим дальнейшую возможность восстановления содержимого этих данных, что отражается соответствующим актом. Обезличенные данные могут храниться более длительное время, поскольку перестают относиться к персональным.
4.4.                       Действия с персональными данными. Оператор осуществляет со всеми полученными персональными данными следующие действия (операции): сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу (предоставление, распространение, доступ), обезличивание, блокирование, удаление и уничтожение – в пределах, необходимых для достижения указанных целей обработки. Передача и предоставление данных третьим лицам осуществляется на условиях, о которых подробно сказано в разделе 6 Политики. Обработка персональных данных прекращается по достижении целей или при отзыве согласия (если данные обрабатывались на основании согласия), либо в случае выявления неправомерной обработки. Субъект персональных данных имеет право отозвать свое согласие в любой момент (п. 8.4 Политики), после чего Оператор обязан прекратить обработку, за исключением случаев, разрешённых законом (например, продолжение хранения тех данных, которые необходимы для целей бухгалтерского учёта или обязательной отчетности).
4.5.                       Оператор и его сотрудники, получившие доступ к персональным данным, обязаны не раскрывать и не распространять третьим лицам персональные данные без согласия субъекта, если иное не предусмотрено федеральным законом. Внутренними документами Оператора установлено, что персональные данные являются конфиденциальной информацией ограниченного доступа. Все работники, допущенные к обработке данных, подписывают обязательство о неразглашении конфиденциальных сведений. Оператор обеспечивает хранение персональных данных в условиях, предотвращающих доступ к ним посторонних лиц, и применяет для этого организационно-технические меры защиты (см. раздел 8 Политики).
5.                                 Права субъектов персональных данных
5.1.                       Субъекты персональных данных (клиенты, сотрудники и иные граждане, чьи данные обрабатывает Оператор) обладают всеми правами, предоставленными им Законом о персональных данных и другими актами законодательства. В соответствии со ст. 14–15 Закона о персональных данных субъекты имеют право, в частности:
5.1.1.             Получать информацию, касающуюся обработки их персональных данных. Каждый субъект вправе запросить у Оператора сведения об обработке его персональных данных, в том числе подтверждение факта обработки и юридические основания, цели, способы обработки; сведения о лицах, которые имеют доступ к данным или которым они могут быть раскрыты; перечень обрабатываемых данных, сроки обработки, информацию об осуществляемой трансграничной передаче и иные сведения, указанные в законе. Предоставляемая информация не должна содержать персональные данные других субъектов (за исключением случаев, предусмотренных законом). Порядок и объём предоставления информации субъекту установлен ст. 14 Закона о персональных данных.
5.1.2.             Требовать от Оператора уточнения, блокирования или уничтожения своих персональных данных – в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными либо не нужны для заявленной цели обработки. Гражданин также вправе принять предусмотренные законом меры по защите своих прав, в том числе требовать от Оператора приостановить обработку, если данные обрабатываются незаконно.
5.1.3.             Отозвать ранее данное согласие на обработку персональных данных, а также направить требование о прекращении обработки своих данных (если обработка осуществляется на основании согласия). Оператор обязан прекратить обработку, за исключением случаев, когда обработка без согласия допускается законом (например, продолжение хранения для целей исполнения договора или в иных предусмотренных ст. 6 Закона случаях).
5.1.4.             Выдвигать условие предварительного согласия при обработке своих персональных данных в целях продвижения товаров, работ, услуг на рынке. Иными словами, субъект вправе потребовать, чтобы без его отдельного согласия его данные не использовались для прямого маркетинга (рассылки рекламы, информационных рассылок). Оператор уважает это право и осуществляет маркетинговую рассылку только при наличии явно выраженного согласия клиента (например, посредством отметки в форме заявки).
5.1.5.             Обжаловать неправомерные действия или бездействие Оператора при обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке. Если субъект считает, что его права нарушены в результате обработки его данных, он может обратиться с жалобой в Роскомнадзор, который вправе провести проверку и выдать предписание Оператору, либо подать иск в суд для защиты своих прав.
5.1.6.             Осуществлять иные права, предусмотренные законодательством РФ. В частности, работники имеют права, установленные ст. 89 Трудового кодекса РФ (получать полную информацию о своих персональных данных, требовать исключения или исправления неправильных или избыточных данных, применять правовые средства защиты и т.д.), а клиенты – права, вытекающие из закона о защите прав потребителей в части персональных данных, сообщённых продавцу (исполнителю). Оператор обязуется обеспечивать реализацию всех законных прав субъектов и устанавливает для этого необходимые процедуры.
5.2.                       Субъект персональных данных может направить Оператору запрос, связанный с осуществлением своих прав (получение информации, уточнение данных, отзыв согласия, прекращение обработки и пр.). Такой запрос должен содержать сведения, предусмотренные законодательством (в письменной форме – основную идентификационную информацию о заявителе, описание сути требования, подпись заявителя; при направлении электронного запроса – электронную подпись либо иной, предусмотренный нормативными актами, способ подтверждения полномочий). Оператор обязан рассмотреть обращение субъекта и дать мотивированный ответ в течение 30 дней с момента поступления запроса либо в иные установленные законом сроки. В случае отказа в предоставлении информации либо неудовлетворения иных требований субъекта, отказ должен быть обоснован со ссылкой на положения закона. Субъект персональных данных также вправе обжаловать действия (бездействие) Оператора в Роскомнадзор или в суд, если полагает, что его права нарушены.
5.3.                       Оператор безвозмездно устраняет по требованиям субъекта персональных данных все выявленные неточности, дополнения и обновления в обрабатываемых данных (при условии подтверждения их актуальности и достоверности самим субъектом). Отзыв согласия на обработку персональных данных исполняется Оператором путем прекращения дальнейшей обработки данных в сроки, не превышающие 30 дней (если иное не установлено законодательством или соглашением с субъектом). О факте прекращения обработки по отзыву согласия Оператор уведомляет субъекта.

6.                                 Передача персональных данных третьим лицам
6.1.                       Передача данных третьим сторонам, обработка по поручению. Оператор может передавать персональные данные субъектов третьим лицам (контрагентам) в случаях, когда это необходимо для достижения целей обработки или предусмотрено законом. Передача персональных данных осуществляется на основании договоров с этими третьими лицами либо на основании требований законодательства с соблюдением принципа конфиденциальности. В частности, персональные данные клиентов могут быть предоставлены следующим категориям получателей: - Сторонние службы доставки. Для выполнения доставки заказа до клиента Оператор привлекает специализированные службы – курьерские сервисы. В том числе, Оператор сотрудничает с сервисами «Яндекс Доставка» и Delivery Club (или их правопреемниками) для организации курьерской доставки блюд. Этим компаниям передаются только те данные, которые необходимы для осуществления доставки: имя получателя, адрес доставки и контактный телефон для связи. Передача данных осуществляется на основании договора между Оператором и соответствующей службой доставки и/или на основании поручения на обработку персональных данных (ст. 6 и поручение по ст. 6 ч.3 Закона о ПДн). Каждая из указанных служб действует как самостоятельный оператор персональных данных в рамках предоставленной информации и обязана соблюдать требования законодательства о персональных данных. Оператор убеждается, что такие партнеры принимают необходимые меры для защиты конфиденциальности данных. - Платёжные системы. В случае онлайн-оплаты заказов персональные данные (например, имя держателя карты) и платежная информация клиента могут направляться в банковские и платёжные системы, через которые осуществляется оплата (эквайеры, банки-эмитенты карт, платёжные агрегаторы). Такие получатели обрабатывают данные в объёме, необходимом для проведения платежа, и несут самостоятельные обязательства по защите этих данных в соответствии со своими политиками и требованиями закона о банковской тайне. - Иные организации по законному основанию. Персональные данные могут быть предоставлены третьим лицам в случаях, прямо предусмотренных законодательством РФ: например, по запросу суда, правоохранительных органов в рамках производства по делу; в налоговые органы – сведения о доходах работников; в Пенсионный фонд или Фонд социального страхования – необходимые сведения о работниках для расчёта пенсий и пособий; в органы статистики – обезличенные сведения, если это требуется; и т.п. В каждом таком случае передача осуществляется строго в рамках компетенции запрашивающего органа и в соответствии с законодательством.
6.2.                       Передача по согласию субъекта. В случаях, когда передача персональных данных третьему лицу не предусмотрена законом или прямо не вытекает из договора с участием субъекта, Оператор запрашивает у субъекта персональных данных письменное согласие (или иным разрешённым способом фиксирует согласие) на предоставление его данных указанному третьему лицу. Без наличия таких законных оснований данные не раскрываются никаким сторонним организациям. Оператор гарантирует, что персональные данные пользователей никогда и ни при каких условиях не будут проданы или обменены с какими-либо сторонними организациями в коммерческих целях. Передача возможна лишь в случаях исполнения обязательств по закону или с согласия субъекта на передачу данных конкретному третьему лицу для исполнения договора с участием субъекта.
6.3.                       Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта, если это необходимо для достижения целей обработки либо для оказания услуг Оператору. В этом случае между Оператором и таким лицом (порученным обработчиком) заключается договор, предусматривающий обязательства обработчика соблюдать принципы обработки персональных данных и обеспечивать их защиту (ст. 6 ч.3 и ст. 委 Закона о персональных данных). Порученный обработчик может действовать только по заданию Оператора и не вправе использовать полученные данные в иных целях. Примерами являются: обслуживание ИТ-инфраструктуры может осуществляться сторонней компанией по договору, которая в процессе может иметь доступ к базам данных; курьерские службы, действующие на основании договора поручения; бухгалтерская компания, ведущая расчёт зарплаты работников по договору аутсорсинга и т.д. Во всех таких случаях Оператор остаётся ответственным за действия приглашённого обработчика перед субъектом персональных данных.
6.4.                       Особые случаи предоставления данных. Если клиент выражает желание публично разместить отзыв о работе Оператора (например, на сайте или в социальных сетях Оператора), указывая при этом свои персональные данные (например, имя, фотографию), то такие данные считаются предоставленными для распространения самим субъектом персональных данных. Оператор обрабатывает и публикует их с согласия клиента либо в рамках его явных действий по публикации. Субъект вправе в любой момент отозвать такое согласие и требовать удаления (в рамках, допустимых функционалом соответствующей площадки).
6.5.                       Политики третьих лиц. Персональные данные, переданные Оператором третьим лицам (согласно п. 6.1–6.3), далее хранятся и обрабатываются этими лицами в соответствии с их собственными политиками конфиденциальности и правилами, установленными в договорах с Оператором. Оператор не несёт ответственности за действия третьих лиц по отношению к полученным от него персональным данным, однако Оператор обязуется требовать от таких лиц соблюдения конфиденциальности и обеспечения безопасности данных при их обработке. В частности, сервисы «Яндекс Доставка» и Delivery Club при получении данных клиентов руководствуются своими пользовательскими соглашениями и политиками обработки данных. Рекомендуем клиентам ознакомиться с соответствующими документами этих сервисов на их официальных сайтах. В случае выявления факта ненадлежащей обработки персональных данных партнером Оператор вправе прекратить передачу данных такому лицу и будет принимать меры для защиты прав субъектов.
6.6.                       Междугородняя и внутренняя передача. Оператор может передавать персональные данные между своими внутренними подразделениями, филиалами (если таковые имеются) в пределах Российской Федерации, соблюдая при этом требования локальных нормативных актов и законодательства о персональных данных. Такая передача не является распространением данных, если осуществляется внутри одной организации (Оператора) и все сотрудники, получающие доступ к данным, связаны обязательствами конфиденциальности.
7.                                 Трансграничная передача персональных данных.
7.1.                       Трансграничной считается передача персональных данных на территорию иностранного государства органу власти этого государства, иностранному физическому или юридическому лицу (ст. 3 Закона о персональных данных). Оператор может осуществлять трансграничную передачу персональных данных в случаях, когда это необходимо для реализации целей обработки – например, при использовании облачных сервисов хранения данных или сервисов рассылки, расположенных за пределами РФ. До начала такой передачи Оператор обязан убедиться, что иностранное государство, на территорию которого передаются данные, обеспечивает адекватную защиту прав субъектов персональных данных. Перечень зарубежных стран, обеспечивающих адекватную защиту, утверждается уполномоченным органом (Роскомнадзором). Трансграничная передача в страны, включенные в данный перечень (как правило, страны, присоединившиеся к Конвенции Совета Европы 1981 г. или имеющие сопоставимый уровень защиты данных), осуществляется Оператором на тех же основаниях, что и внутри РФ, и не требует отдельных разрешений.
7.2.                       Если Оператор намеревается передать персональные данные на территорию государства, не обеспечивающего адекватной защиты прав субъектов (то есть не входящего в утвержденный Роскомнадзором перечень), такая трансграничная передача осуществляется только при наличии одного из следующих условий: получено письменное согласие субъекта персональных данных на трансграничную передачу его данных; либо передача необходима для исполнения договора, стороной которого является субъект персональных данных (например, когда субъект сам инициирует получение услуги, требующей передачи его данных иностранному лицу); либо имеется иное основание, предусмотренное законодательством. Таким образом, Оператор прежде, чем осуществить передачу в юрисдикции с недостаточным уровнем защиты, запросит у субъекта отдельное согласие в письменной форме либо убедится, что такая передача прямо разрешена законом (например, необходима для защиты жизни субъекта, для выполнения международного договора и т.п.).
7.3.                       Оператор соблюдает требование законодательства об уведомлении уполномоченного органа (Роскомнадзора) о намерении осуществлять трансграничную передачу персональных данных (согласно недавно введенным нормам Федерального закона № 152-ФЗ, ст. 12). Перед началом регулярной трансграничной передачи Оператор направляет соответствующее уведомление, содержащее сведения о принимающей стороне, целях передачи, категориях данных и субъектах, а также мерах по защите данных за рубежом. Без направления указанного уведомления (в случаях, когда оно требуется по закону) Оператор не начинает трансграничную передачу.
7.4.                       В каждом случае передачи данных за рубеж Оператор обеспечивает, чтобы получатель за пределами РФ принял на себя обязательства по сохранению конфиденциальности полученных данных и обеспечения их безопасности. Это реализуется путём включения необходимых условий в договор с иностранным получателем данных (соглашение о конфиденциальности, стандартные договорные положения о защите данных и др.), либо путём получения от субъекта персональных данных явного согласия, осознающего риски такой передачи. Субъект персональных данных вправе запросить у Оператора информацию о том, в какие страны и каким лицам были переданы его данные. Оператор ведёт учёт осуществляемых трансграничных передач и по требованию Роскомнадзора предоставляет соответствующую отчетность.
8.                                 Меры по обеспечению безопасности персональных данных.
8.1.                       Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией комплекса таких мер, полностью соответствующих требованиям действующего законодательства в области защиты персональных данных. Меры защиты персональных данных разработаны с учётом типовых угроз безопасности, определённых в методических документах (приказ Роскомнадзора № 18 от 15.03.2021 и др.), а также с учётом категорий обрабатываемых данных и масштабов деятельности Оператора (малое предприятие в сфере услуг).
8.2.                       Назначен ответственный сотрудник за организацию обработки персональных данных и соблюдение требований безопасности (приказом руководителя Оператора). Ответственный осуществляет координацию действий по защите данных, контроль за обращениями субъектов и взаимодействие с надзорными органами. - Издан и внедрён внутренний локальный акт – настоящее Положение (Политика) об обработке персональных данных, обязательное для исполнения всеми сотрудниками Оператора. Содержание Политики доведено до сведения работников под роспись. - Определены списки сотрудников, допущенных к обработке персональных данных, и распределены их обязанности. Доступ к персональным данным имеют только те работники, которым он необходим для выполнения трудовых функций (принцип минимально необходимого доступа). Иные лица не допускаются к работе с персональными данными без специального разрешения. - Сотрудники, допущенные к обработке персональных данных, ознакомлены с положениями законодательства РФ о персональных данных, включая ответственность за нарушения. Проводятся периодические инструктажи и обучение работников по вопросам защиты персональных данных. - Внутренними документами утверждены процедуры реагирования на инциденты, связанные с возможным несанкционированным доступом или утечкой персональных данных. Назначенное ответственное лицо контролирует соблюдение Политики, проводит проверки условий хранения данных, рассматривает отчёты об инцидентах. - Оператором ведётся учет материальных носителей персональных данных (при их наличии) и регулируется порядок их обращения, хранения и перемещения, чтобы предотвратить утрату или кражу информации. - С каждым работником, допущенным к конфиденциальной информации, заключено соглашение о неразглашении персональных данных (с установлением обязанностей соблюдать тайну даже после увольнения, в течение определенного периода).
8.3.                       Используются сертифицированные средства защиты информации (антивирусное программное обеспечение, межсетевой экран) для предотвращения несанкционированного доступа и вредоносных воздействий на информационную систему. - Персональные данные клиентов хранятся в защищённой базе данных, расположенной на сервере, доступ к которому ограничен набором IP-адресов и системой аутентификации пользователей. При передаче конфиденциальных сведений через веб-сайт используется шифрование (протокол HTTPS). - Реализована система разграничения доступа к электронным ресурсам: каждому пользователю (сотруднику) выдаётся уникальный логин и пароль, определены права доступа в зависимости от должностных обязанностей. Пароли хранятся в зашифрованном виде; политика паролей предусматривает их регулярную смену и сложность. - Выполняется регулярное резервное копирование данных, архивы хранятся в зашифрованном виде на отдельном носителе либо облачном хранилище с высокой степенью защиты. Это обеспечивает сохранность данных при сбоях или чрезвычайных ситуациях. - Помещения, в которых размещены серверное оборудование и бумажные носители персональных данных, защищены от несанкционированного проникновения (система контроля доступа, сигнализация). Бумажные документы с персональными данными хранятся в закрытых шкафах, доступ к которым имеют уполномоченные лица. - При уничтожении носителей информации (как бумажных, так и электронных) Оператор использует способы, исключающие восстановление данных (например, шредирование документов, безопасное удаление или физическое разрушение дисков).
8.4.                       Оператор периодически проводит оценку актуальных угроз безопасности персональных данных и в случае необходимости обновляет систему защиты с учётом новых рисков. Проводятся плановые проверки и аудиты соблюдения требований Политики и законодательства (в том числе внутренние проверки ответственным лицом). В случае обнаружения недостатков в системе защиты принимаются меры по их устранению незамедлительно.
8.5.                       В случае выявления факта нарушения безопасности персональных данных (утечки, несанкционированного доступа, сбоя повлекшего компрометацию данных) Оператор действует в соответствии с требованиями законодательства: проводит расследование причин, при необходимости уведомляет уполномоченный надзорный орган (Роскомнадзор) и субъектов персональных данных о произошедшем инциденте в установленные сроки, а также принимает меры для минимизации возможного вреда.
8.6.                       При заключении договоров с лицами, которым поручается обработка персональных данных либо которым они передаются (см. раздел 6), Оператор включает в договоры условия о необходимых мерах защиты и конфиденциальности персональных данных. Контрагенты, получающие персональные данные, обязаны соблюдать требования Закона о персональных данных и не разглашать сведения без разрешения Оператора и субъекта данных. В случаях, если сторонняя организация не обеспечивает должного уровня защиты или нарушает взятые на себя обязательства, Оператор вправе расторгнуть договор и потребовать уничтожения (возврата) ранее переданных персональных данных.
8.7.                       Сотрудники Оператора, виновные в нарушении норм обработки и защиты персональных данных, привлекаются к дисциплинарной, материальной, административной и иной ответственности согласно законодательству РФ. В зависимости от характера нарушения, виновное лицо может быть подвергнуто дисциплинарному взысканию, обязано возместить ущерб (если утечка или неправомерные действия с данными привели к убыткам Оператора или субъектов данных), а в случаях, предусмотренных законом, – привлечено к административной или уголовной ответственности. Оператор предупреждает сотрудников о персональной ответственности при обучении и в должностных инструкциях.
8.8.                       Оператор осознаёт, что в случае несоблюдения требований Закона о персональных данных он (как юридическое лицо) может быть привлечён к административной ответственности в соответствии с КоАП РФ. Настоящая Политика, а также реально реализуемые меры защиты направлены на недопущение таких нарушений. Контроль со стороны государства (Роскомнадзора) за соблюдением Оператором законодательства о персональных данных может включать плановые и внеплановые проверки, по результатам которых выдаются предписания об устранении нарушений либо накладываются штрафы. Должностные лица Оператора также могут быть оштрафованы за несоблюдение обязанностей оператора (например, за отсутствие Политики или несоответствие её требованиям). Руководство Оператора принимает все меры для исполнения возложенных законом обязанностей и недопущения инцидентов, способных повлечь ответственность.
9.                                 Заключительные положения
9.1.                       Настоящая Политика утверждена приказом директора Общества и вступает в силу с момента утверждения. Политика разработана в официально-деловом стиле, учитывая требования законодательства РФ о персональных данных, и подлежит периодическому пересмотру в случае изменений нормативных требований или внедрения новых процессов обработки данных у Оператора.
9.2.                       Все изменения и дополнения к Политике оформляются в виде новых редакций и утверждаются надлежащим образом. Актуальная редакция Политики постоянно доступна на веб-сайте Оператора в разделе «Политика обработки персональных данных». Внутренние распоряжения, затрагивающие вопросы обработки и защиты персональных данных, не должны противоречить данной Политике.
9.3.                       Любые вопросы, не урегулированные настоящей Политикой, разрешаются в соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных», иных применимых законов Российской Федерации, а также локальных актов Оператора. В случае противоречий между Политикой и действующим законодательством приоритет имеют нормы законодательства РФ.
9.4.                       Настоящая Политика открыта для доступа субъектов персональных данных. Размещение Политики на официальном сайте осуществляется во исполнение требований части 2 статьи 18.1 Федерального закона № 152-ФЗ. Субъект персональных данных может свободно ознакомиться с данным документом до предоставления своих персональных данных Оператору. Кроме того, по требованию субъекта Оператор готов предоставить Политику в виде бумажного документа по местонахождению Оператора.
10.                          Контактные данные Оператора для обращения по вопросам персональных данных:
Адрес: 344000, г. Ростов-на-Дону, ул. Пушкинская, д. 50 (офис Оператора).
E-mail: privacy@estraki.ru (для направления запросов субъектов персональных данных).
Телефон: +7 _________________ (горячая линия по вопросам персональных данных).