1.Общие положения
1.1.Настоящее Положение разработано в соответствии с законодательством Российской Федерации о персональных данных (далее по тексту - ПДн) и определяет политику Общества с ограниченной ответственностью «РУМОС-Клуб» (далее по тексту – Оператор) в отношении обработки и защиты ПДн Клиентов ООО «РУМОС-Клуб». Настоящее Положение применяется в том числе в отношении обработки и защиты ПДн пользователей (Клиентов) сайта Оператора
https://cateringtver.ru
1.2. В настоящем Положении используются следующие термины:
- клиент - физическое лицо, потребитель услуг Оператора, субъект персональных данных;
- персональные данные (ПДн) Клиентов - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн), необходимая Оператору в связи с исполнением им договорных обязательств перед Клиентом;
- обработка ПДн- любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;
- автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники;
- распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц;
- предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
- блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
- уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и/или в результате которых уничтожаются материальные носители ПДн;
- обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;
- информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий, и технических средств;
- трансграничная передача ПДн - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
- специальные категории ПДн - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, частной жизни субъектов персональных данных.
- биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.
- общедоступные персональные данные - персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона "О персональных данных".
- сайт - совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети Интернет по сетевому адресу https://rumos-club.ru.
1.3. Настоящее Положение определяет:
1.3.1. порядок и условия обработки ПДн Оператором, включая порядок передачи ПДн третьим лицам, особенности автоматизированной и неавтоматизированной обработки ПДн, порядок доступа к ПДн, порядок организации внутреннего контроля и ответственность за нарушения при обработке ПДн,
1.3.2. процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных,
1.3.3. цели обработки ПДн,
1.3.4. содержание обрабатываемых ПДн для каждой цели обработки ПДн,
1.3.5. категории субъектов, персональные данные которых обрабатываются,
1.3.6. способы и сроки обработки и хранения обрабатываемых ПДн,
1.3.7. порядок уничтожения ПДн при достижении целей обработки или при наступлении иных законных оснований.
1.4. Действие настоящего Положения распространяется на все процессы по сбору, систематизации, накоплению, хранению, уточнению, использованию, распространению (в том числе передачу), обезличиванию, блокированию, уничтожению ПДн, осуществляемых с использованием средств автоматизации и без их использования.
1.5. Настоящее Положение вступает в силу с момента его утверждения
Генеральным директором ООО «РУМОС-Клуб» (далее по тексту – Руководитель Оператора) и действует бессрочно, до замены его новым Положением.
1.6. Все изменения в Положение вносятся соответствующим Приказом.
1.7. Все работники Оператора должны быть ознакомлены с настоящим Положением под роспись.
1.8. На сайте Оператора осуществляется сбор и обработка файлов cookie (в том числе, файлов cookie, используемых «Яндекс-метрикой»). Cookies – небольшие по размеру текстовые файлы, хранящиеся в браузере пользователей (Клиентов) сайта. На сайте Оператора происходит сбор (из cookies) следующих обезличенных статистических данных о пользователях (клиентах) сайта, в том числе: тип выполненного на сайте действия (клик, наведение курсора и т.п.), дата и время выполненного действия, URL страницы, IP адрес, данные о просматриваемых услугах/товарах.
1.9. Используя сайт Оператора (просмотр, чтение текста, отправка и загрузка информации) и предоставляя свои ПДн, пользователи (Клиенты) дают согласие на обработку ПДн в соответствии с настоящим Положением.
2. Цели и задачи обработки персональных данных
2.1. Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
2.2. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, не совместимых между собой.
2.3. Обработке подлежат только ПДн, которые отвечают целям их обработки.
2.4. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
2.5. Получение персональных данных может осуществляться как путем представления их самими субъектами персональных данных, так и путем получения их из иных источников.
2.6. Персональные данные следует получать у самого субъекта персональных данных. Если персональные данные возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Оператор должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.
2.7. Обработка ПДн клиентов ООО «РУМОС-Клуб» может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, при наличии договорных отношений между субъектами ПДн и Оператором, при обращении субъектов к Оператору с обращениями, заявлениями и жалобами, а также за оказанием услуг, предоставляемых Оператором, и в иных случаях, связанных с осуществлением Оператором его деятельности.
2.8. ООО «РУМОС-Клуб» осуществляет обработку ПДн клиентов в порядке, указанном в настоящем Положении и согласно Перечня обрабатываемых персональных данных. ООО «РУМОС-Клуб» не осуществляет обработку специальных категорий ПДн и трансграничную передачу ПДн.
2.9. Основными целями обработки ПДн являются: оказание услуг в сфере деятельности Оператора; заключение, исполнение и прекращение гражданско-правовых договоров, продвижение товаров и услуг, поставляемых Оператором; получение и исследование статистических данных об объемах продаж и качестве услуг, оказываемых Оператором; совершенствование уровня предоставляемых Оператором услуг; осуществление других видов деятельности в рамках законодательства РФ с обязательным выполнением требований законодательства РФ в области персональных данных.
2.10. Документами, содержащими персональные данные, являются паспорт или иной документ, удостоверяющий личность.
3.Содержание персональных данных, обрабатываемых Оператором
3.1. У ООО «РУМОС-Клуб» обрабатываются ПДн следующих субъектов ПДн:
- клиентов - физических лиц (потребителей услуг Оператора и покупателей Оператора);
- индивидуальных предпринимателей, самозанятых – клиентов и контрагентов Оператора;
- руководителей, сотрудников юридического лица или индивидуального предпринимателя, являющихся контрагентами Оператора.
3.2. Данный перечень может пересматриваться по мере необходимости.
3.3. К персональным данным субъектов ПДн, обрабатываемых Оператором, относятся:
- фамилия, имя, отчество;
- пол;
- число, месяц, год и место рождения;
- контактный телефон;
- адрес электронной почты (e-mail);
- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
- адрес регистрации;
- ИНН, СНИЛС;
- место работы, доходы, занимаемая должность;
- фотографии;
- банковские реквизиты.
4. Доступ к персональным данным. Порядок доступа в помещения, в которых обрабатываются персональные данные:
4.1. Сотрудники Оператора, которые в силу выполняемых должностных обязанностей постоянно работают с ПДн, получают допуск к необходимым категориям ПДн на срок выполнения ими соответствующих должностных обязанностей на основании Приказов ООО «РУМОС-Клуб».
4.2. Список лиц, имеющих доступ к ПДн для информационной системы, должен поддерживаться в актуальном состоянии.
4.3. Оператором установлен разрешительный порядок доступа к ПДн. Сотрудникам Оператора предоставляется доступ к работе с ПДн исключительно в пределах и объеме, необходимых для выполнения ими своих должностных обязанностей на основании решения ООО «РУМОС-Клуб».
4.4. В случае, если сотруднику сторонней организации необходим доступ к ПДн Оператора, то необходимо, чтобы в договоре со сторонней организацией были прописаны условия конфиденциальности ПДн и обязанность сторонней организации и ее сотрудников по соблюдению требований текущего законодательства в области защиты ПДн (поручение Оператора). Кроме того, в случае доступа к ПДн лиц, не являющихся сотрудниками Оператора, должно быть получено согласие субъектов ПДн на предоставление их ПДн третьим лицам. Указанное согласие не требуется, если ПДн предоставляются в целях исполнения гражданско-правового договора, заключенного Оператором с субъектом ПДн.
4.6. Доступ сотрудника Оператора к ПДн прекращается с даты прекращения трудовых отношений, либо даты изменения должностных обязанностей сотрудника и/или исключения сотрудника из списка лиц, имеющих право доступа к ПДн.
4.7. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Положением и действующим законодательством. В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.
4.8. Запрещается оставлять материальные носители ПДн без присмотра в незапертых помещениях, в которых осуществляется обработка персональных данных.
4.9. Сотрудники, постоянно работающие в помещениях, в которых осуществляется обработка ПДн, должны быть допущены к работе с соответствующими видами персональных данных Руководителем Оператора.
4.10. В служебных помещениях Оператора применяются административные, технические, физические и процедурные меры, направленные для защиты ПДн от нецелевого использования, несанкционированного доступа, раскрытия, потери, изменения и уничтожения обрабатываемых ПДн.
К указанным мерам относятся:
- физические меры защиты: двери, снабженные замками, сейфы и безопасное уничтожение носителей, содержащих ПДн;
- технические меры защиты: применение антивирусных программ, программ защиты, установление паролей на персональных компьютерах;
- организационные меры защиты: обучение и ознакомление с принципами безопасности и конфиденциальности, доведение до сотрудников, допущенных к обработке ПДн, важности защиты персональных данных и способов обеспечения защиты.
5. Процедуры, направленные на выявление и предотвращение нарушений
законодательства в сфере персональных данных
5.1. Оператор обязан принимать необходимые правовые, организационные, технические и другие меры для обеспечения безопасности ПДн.
5.2. При обработке ПДн в информационных системах должно быть обеспечено:
-проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и/или передачи их лицам, не имеющим права доступа к такой информации;
-своевременное обнаружение фактов несанкционированного доступа к ПДн;
-недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
-возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
-постоянный контроль над обеспечением уровня защищенности ПДн.
5.3. Оператором используются технические средства и программное оборудование для обработки и защиты ПДн, а именно: антивирусное программное обеспечение, межсетевой экран между локальной и глобальной сетями, прокси-сервер, а также дополнительные меры, такие как исключение доступа в помещения, в которых находится оборудование информационной системы, посторонних лиц.
5.4. Обработка ПДн без использования средств автоматизации (далее – неавтоматизированная обработка ПДн) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.
5.5. При неавтоматизированной обработке ПДн должно быть обеспечено:
-осуществление обработки ПДн таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
-раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
-соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ, при хранении материальных носителей.
5.6. Документы и внешние электронные носители информации, содержащие ПДн, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
5.7. Сотрудники обязаны незамедлительно сообщать Руководителю Оператора об утрате или недостаче носителей информации, составляющей ПДн, а также о причинах и условиях возможной утечки ПДн. В случае попытки посторонних лиц получить от сотрудника ПДн, обрабатываемых Оператором, незамедлительно известить об этом Руководителя Оператора.
5.8. В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн Оператор обязан осуществитьблокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных ПДнпри обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Оператор обязан осуществить блокирование ПДн, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.
5.9. В случае подтверждения факта неточности ПДн Оператор на основаниисведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязан уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в течение срока, указанного в ч. 2 ст. 21 ФЗ «О персональных данных», и снять блокирование персональных данных.
5.10. В случае выявления неправомерной обработки ПДн, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязано прекратитьнеправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Оператора.
В случае, если обеспечить правомерность обработки ПДн невозможно, Оператор в срок, указанный в ч. 3 ст. 21 ФЗ «О персональных данных», обязано уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Оператор обязан уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектовПДн, также указанный орган.
5.11. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов ПДн или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов ПДн:
1) в срок, указанный в п. 1 ч. 3.1 ст. 21 ФЗ «О персональных данных» - о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов ПДн, по вопросам, связанным с выявленным инцидентом;
2) в срок, указанный в п. 2 ч. 3.1 ст. 21 ФЗ «О персональных данных» - о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
6. Согласие на обработку ПДн
6.1. Субъект ПДн принимает решение о предоставлении своих ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку ПДн может быть дано субъектом ПДн в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством РФ. В случае получения согласия на обработку ПДн от представителя субъекта ПДн полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются Оператором.
6.2. Обработка биометрических ПДн (рост, вес, группа крови и т.д.), в соответствии со ст. 11 Федерального закона № 152 ФЗ «О персональных данных», Оператором не осуществляется.