Конструктор политики обработки персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика обработки персональных данных (далее — Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ) и определяет порядок обработки персональных данных Оператором ООО 'Пример'.

1.2. В целях настоящей Политики используются следующие основные понятия:

• персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
• оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
• автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
• распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.3. Настоящая Политика распространяется на следующие категории субъектов персональных данных: посетители сайта https://example.com, клиенты (покупатели товаров, работ, услуг) Оператора.

1.4. Целями обработки персональных данных являются: обеспечение соблюдения законодательства Российской Федерации, заключение и исполнение договоров с клиентами, предоставление информации о товарах и услугах, а также улучшение качества обслуживания.

1.5. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе: 152-ФЗ, Гражданский кодекс Российской Федерации (статьи 150–152.2), Трудовой кодекс Российской Федерации (статьи 85–90), Кодекс Российской Федерации об административных правонарушениях (статья 13.11), Приказ Роскомнадзора от 05.09.2013 № 19.

2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработка персональных данных осуществляется Оператором на законной и справедливой основе в соответствии с Конституцией РФ, ФЗ № 152-ФЗ от 27.07.2006 «О персональных данных» и иными нормативными правовыми актами Российской Федерации.

2.2. Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.3. Обработка персональных данных осуществляется исключительно в целях оказания услуг и улучшения качества обслуживания. Объединение баз данных, содержащих персональные данные, обработка которых осуществляется для несовместимых между собой целей, не допускается.

2.4. Оператор обеспечивает точность, достаточность и актуальность персональных данных по отношению к целям их обработки. Оператор обязан уточнять персональные данные у субъекта персональных данных в случае выявления их неполноты или неточности.

2.5. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в их достижении.

3. СБОР И ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Оператор осуществляет сбор и обработку персональных данных следующих категорий субъектов: посетители сайта https://example.com, клиенты (покупатели, заказчики) и сотрудники (кандидаты, работники).

3.2. Персональные данные поступают к Оператору только непосредственно от самого субъекта персональных данных: через сайт (формы обратной связи, регистрация, подписка, cookies), при заключении договора или при приёме на работу.

3.3. В отношении посетителей сайта и клиентов Оператор собирает только общие персональные данные: фамилия, имя, отчество, контактный телефон, адрес электронной почты, адрес доставки.

3.4. В отношении сотрудников (кандидатов, работников) Оператор собирает общие персональные данные, а также паспортные данные, ИНН, СНИЛС, данные об образовании, трудовую книжку.

3.5. Сбор персональных данных осуществляется только через сайт Оператора: посредством заполнения форм обратной связи, регистрации, подписки, а также с использованием файлов cookies.

3.6. Согласие на обработку персональных данных считается данным субъектом при заполнении формы на сайте, регистрации, оформлении заказа или использовании сайта, если иное не предусмотрено законодательством Российской Федерации.

3.7. Обработка персональных данных осуществляется в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Трудовым кодексом РФ (статьи 85–90), а также иными нормативными правовыми актами Российской Федерации.

4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Оператор обрабатывает персональные данные следующих категорий субъектов: посетители сайта https://example.com, клиенты (покупатели) и работники Оператора.

4.2. В отношении посетителей сайта https://example.com Оператор осуществляет обработку персональных данных в целях обеспечения функционирования сайта, проведения статистических и аналитических исследований, улучшения пользовательского опыта.

4.3. В отношении клиентов (покупателей) Оператор осуществляет обработку персональных данных в целях заключения и исполнения договоров, осуществления обратной связи с клиентом, а также ведения бухгалтерского учёта в соответствии с законодательством Российской Федерации.

4.4. В отношении работников Оператор осуществляет обработку персональных данных в целях кадрового учёта, начисления и выплаты заработной платы, обеспечения обязательного социального страхования, ведения воинского учёта, а также в иных целях, предусмотренных Трудовым кодексом Российской Федерации.

4.5. Обработка персональных данных для направления рекламных и информационных сообщений Оператором не осуществляется.

5. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка персональных данных субъектов осуществляется Оператором на основании согласия субъекта персональных данных, предоставляемого в соответствии со статьей 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

5.2. Обработка персональных данных может осуществляться без согласия субъекта в случаях, когда это необходимо для выполнения обязанностей, возложенных на Оператора законодательством Российской Федерации, в том числе трудовым законодательством (Трудовой кодекс РФ, статьи 85–90).

5.3. Оператор обрабатывает только обычные персональные данные: фамилию, имя, отчество, контактные данные, паспортные данные и иную информацию, необходимую для достижения целей обработки.

5.4. Биометрические персональные данные Оператором не обрабатываются.

5.5. Трансграничная передача персональных данных не осуществляется; обработка и хранение данных производятся исключительно на территории Российской Федерации.

5.6. Обработка персональных данных может также осуществляться в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.

9. ПОРЯДОК ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ

9.1. Оператор вправе передавать персональные данные субъектов третьим лицам только при наличии согласия субъекта персональных данных, за исключением случаев, предусмотренных федеральным законом (в частности, по запросу уполномоченных государственных органов, суда, правоохранительных органов).

9.2. Согласие на передачу персональных данных третьим лицам оформляется отдельно или в рамках общего согласия на обработку персональных данных, предоставляемого субъектом в соответствии со статьей 9 Федерального закона № 152-ФЗ.

9.3. Оператор передаёт персональные данные следующим категориям третьих лиц: курьерские службы (для доставки товаров), платёжные системы (для обработки платежей).

9.4. Третьи лица, которым оператор поручает обработку персональных данных, обязуются соблюдать конфиденциальность персональных данных и использовать их исключительно в целях, указанных оператором, а также не разглашать их третьим лицам без согласия оператора.

9.5. Трансграничная передача персональных данных не осуществляется; обработка и хранение персональных данных производятся исключительно на территории Российской Федерации.

9.6. Передача персональных данных органам дознания и следствия, в суд, в Роскомнадзор, а также в иные уполномоченные органы осуществляется в порядке, предусмотренном законодательством Российской Федерации, без получения дополнительного согласия субъекта.

10. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Оператор принимает правовые, организационные и технические меры, необходимые и достаточные для обеспечения безопасности персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и Приказа Роскомнадзора от 05.09.2013 № 19.

10.2. В рамках организационных мер Оператор назначает ответственного за организацию обработки персональных данных, утверждает перечень лиц, допущенных к обработке персональных данных, и проводит внутренний контроль соответствия обработки персональных данных требованиям законодательства.

10.3. Технические меры защиты включают: применение антивирусных средств, межсетевых экранов, шифрование данных при передаче и хранении, резервное копирование баз данных, а также систему контроля доступа к информационным системам, содержащим персональные данные.

10.4. Правовые меры предусматривают включение в трудовые договоры с работниками и в договоры с контрагентами условий о конфиденциальности персональных данных и обязанности соблюдать требования законодательства о персональных данных.

10.5. Оператор обеспечивает стандартный уровень защищённости персональных данных (УЗ-1) в соответствии с требованиями нормативных правовых актов, что является достаточным для защиты обрабатываемых общих персональных данных (фамилия, имя, отчество, контактные данные, паспортные данные).

10.6. Нарушение требований к защите персональных данных влечёт ответственность, предусмотренную статьёй 13.11 Кодекса Российской Федерации об административных правонарушениях, а также гражданско-правовую ответственность в соответствии со статьями 150–152.2 Гражданского кодекса Российской Федерации.

11. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в соответствии со статьей 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

11.2. Субъект вправе требовать от Оператора уточнения, блокирования или уничтожения его персональных данных в случае, если они являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, в порядке, установленном статьей 21 Федерального закона № 152-ФЗ.

11.3. Субъект вправе отозвать согласие на обработку персональных данных в любой момент. Отзыв согласия осуществляется путем направления письменного заявления Оператору по адресу: г. Москва, ул. Примерная, д. 1, или в форме электронного документа по адресу электронной почты: info@example.com, или через форму на сайте Оператора: https://example.com. Оператор обязан прекратить обработку персональных данных в течение тридцати дней с момента получения отзыва согласия.

11.4. Субъект вправе возражать против обработки его персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в иных случаях, предусмотренных Федеральным законом № 152-ФЗ. Возражение подается в порядке, аналогичном порядку отзыва согласия, указанному в пункте 11.3 настоящего раздела.

11.5. Субъект вправе обжаловать действия (бездействие) Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке в соответствии с законодательством Российской Федерации.

11.6. Запросы о реализации прав, указанных в настоящем разделе, могут направляться субъектом в письменной форме, в форме электронного документа по адресу электронной почты: info@example.com, или через форму на сайте Оператора: https://example.com.

11.7. Оператор обязан рассмотреть запрос субъекта и направить мотивированный ответ в срок, не превышающий тридцати дней с даты получения запроса. В случае необходимости дополнительного сбора информации срок рассмотрения может быть продлен, но не более чем на шестьдесят дней, с обязательным уведомлением субъекта о причинах продления.

12. ОТЗЫВ СОГЛАСИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

12.1. Субъект персональных данных вправе отозвать согласие на обработку своих персональных данных, направив соответствующее заявление в свободной форме на адрес электронной почты Оператора: info@example.com.

12.2. После получения отзыва согласия Оператор обязан прекратить обработку персональных данных Субъекта и уничтожить их в срок, не превышающий 30 (тридцати) дней с даты поступления заявления, если иное не предусмотрено федеральным законом (в частности, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»).

12.3. Отзыв согласия не влечёт прекращения обработки персональных данных, осуществляемой на основаниях, предусмотренных законом, в том числе в случаях, когда обработка необходима для исполнения договора, соблюдения трудового законодательства (статьи 85–90 Трудового кодекса РФ) или выполнения иных обязательных требований.

12.4. В случае невозможности уничтожения персональных данных в установленный срок по причинам, предусмотренным законом, Оператор уведомляет Субъекта о таких обстоятельствах и сроках завершения обработки.

14. СРОКИ ХРАНЕНИЯ И ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

14.1. Оператор устанавливает следующие сроки хранения персональных данных в зависимости от категории субъектов:

14.1.1. Для посетителей сайта — до достижения целей сбора, но не более одного года после последнего посещения сайта.

14.1.2. Для клиентов — в течение срока действия договора и трёх лет после его прекращения.

14.1.3. Для сотрудников — в соответствии с требованиями Трудового кодекса РФ и иных нормативных правовых актов, устанавливающих сроки хранения кадровых документов.

14.2. По истечении установленных сроков хранения персональные данные подлежат уничтожению, если иное не предусмотрено федеральным законом.

14.3. Уничтожение персональных данных производится комиссией, назначаемой приказом Оператора, путём физического уничтожения материальных носителей или удаления информации с электронных носителей с составлением акта об уничтожении.

14.4. Досрочное уничтожение персональных данных осуществляется в случае отзыва субъектом персональных данных согласия на их обработку, если дальнейшая обработка не допускается законодательством Российской Федерации.

14.5. При ликвидации Оператора все персональные данные уничтожаются в порядке, установленном законодательством Российской Федерации.