ПОЛИТИКА
В области персональных данных компании ЗАО "Улица Куйбышева", обладающей Интернет-ресурсом http://cofe.ru
1. Используемая терминология и сокращения
1.1. «Автоматизированная обработка персональных данных» - обработка персональных данных с помощью средств вычислительной техники.
1.2. «Информационная система персональных данных» - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.3. «Обработка персональных данных» - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.4. «Персональные данные» - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
1.5. «Сайт» - Интернет-ресурс, расположенный по адресу: http://cofe.ru,
1.5. «Субъект персональных данных», «Субъект» - физическое лицо, индивидуальный предприниматель или представитель юридического лица, использующий Сайт и давший своё согласие на обработку своих персональных данных в рамках Соглашения об обработке персональных данных.
2. Общие положения
2.1. Настоящая Политика в отношении обработки персональных данных (далее - Политика) разработана в соответствии со ст. 18.1 Федерального закона РФ от 27.07.2006 г. №152-ФЗ «О персональных данных».
2.2. Настоящий документ определяет политику ЗАО "Улица Куйбышева" (далее - Компания) в отношении информации о Субъектах персональных данных, которую Компания и/или ее партнеры могут обрабатывать при осуществлении установленных в Уставе видов деятельности и оказании услуг юридическим и физическим лицам.
2.3. Настоящая Политика разработана в целях исполнения требований следующих нормативно-правовых актов:
2.3.1. Федерального закона РФ от 27.07.2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
2.3.2. Федерального закона РФ от 27.07.2006 г. №152-ФЗ «О персональных данных»;
2.3.3. Постановления Правительства РФ от 01.11.2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
2.3.4. Постановления Правительства РФ от 15.09.2008 г. №687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
2.3.5. Постановления Правительства РФ от 06.07.2008 г. №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
2.3.6. Приказа ФСТЭК России от 18.02.2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
2.3.7. Руководящего документа ФСБ России от 21 февраля 2008 г. №149/5-144 «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации»;
2.3.8. Руководящего документа ФСБ России от 21.02.2008 г. №149/6/6-622 «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных».
2.4. Обеспечение неограниченного доступа к Политике реализуется путем ее публикации на Сайте по адресу: http://cofe.ru/privacy-policy/.
2.5. Участие в контроле выполнения требований настоящей Политики могут принимать работники, чьи должностные обязанности предполагают проведение процедур внутреннего контроля в Компании.
2.6. Настоящая Политика может быть пересмотрена по указанию Генерального директора Компании.
3. Обработка Персональных данных
3.1. При организации обработки персональных данных в Компании утверждается перечень персональных данных, разрешенных к обработке, который формируется с учетом следующих принципов:
3.1.1. обработка Персональных данных осуществляется на законной и справедливой основе;
3.1.2. обработка Персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
3.1.3. не допускается объединение баз данных, содержащих Персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
3.1.4. обработке подлежат только Персональные данные, которые отвечают целям их обработки;
3.1.5. при обработке Персональных данных обеспечивается точность Персональных данных, их достаточность и актуальность по отношению к целям обработки Персональных данных.
3.2. Компания в своей деятельности исходит из того, что Субъект персональных данных предоставляет точную и достоверную информацию, во время взаимодействия с Компанией извещает представителей Компании об изменении своих Персональных данных.
4. Цели сбора и обработки Персональных данных субъектов Компании
4.1. Компания производит обработку только тех Персональных данных, которые необходимы для выполнения договорных обязательств, а также в целях исполнения требований законодательства РФ.
5. Условия обработки Персональных данных Субъектов персональных данных и ее передачи третьим лицам.
5.1. Компания обрабатывает и хранит Персональные данные субъектов в соответствии с внутренними нормативными документами, разработанными согласно законодательству РФ.
5.2. В отношении Персональных данных Субъектов обеспечивается их конфиденциальность, целостность и доступность. Передача Персональных данных третьим лицам для выполнения договорных обязательств осуществляется только с согласия Субъекта персональных данных, а также для выполнения требований законодательства РФ - в рамках установленной законодательством процедуры. В случае реорганизации, продажи или иной передачи бизнеса (полностью или части) Компании к приобретателю переходят все обязательства по соблюдению условий настоящей Политики применительно к получаемым им Персональным данным.
5.3. Компания может поручить обработку Персональных данных другому лицу при выполнении следующих условий:
5.3.1. получено согласие Субъекта на поручение обработки Персональных данных другому лицу;
5.3.2. поручение обработки Персональных данных осуществляется на основании заключаемого с этим лицом договора.
5.4 При обработке Персональных данных субъектов Компания руководствуется Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных».
6. Меры, применяемые для защиты Персональных данных субъектов
6.1. Компания принимает необходимые и достаточные организационные и технические меры для защиты Персональных данных Субъектов от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц.
6.2. К основным методам и способам обеспечения безопасности Персональных данных относятся:
6.2.1. назначение лиц, ответственных за организацию обработки и защиты Персональных данных, распределение функций, обязанностей и полномочий;
6.2.2. ознакомление работников Компании с требованиями законодательства, регламентными и организационно-распорядительными документами Компании по вопросам обработки и защиты Персональных данных;
6.2.3. установление правил обработки и разрешительной системы допуска к Персональным данным субъектов;
6.2.4. организация физической защиты помещений, технических средств и носителей Персональных данных;
6.2.5. постоянный контроль уровня защиты Персональных данных;
6.3. В компании также существуют технические меры обеспечения безопасности Персональных данных:
6.3.1. информационный доступ к техническим средствам, с помощью которых производится обработка персональных данных, реализован через автоматизированные рабочие места, защищенные от несанкционированного доступа.
6.3.2. в зависимости от степени критичности информации разграничение (ограничение) доступа проводится программно-аппаратными средствами идентификации и аутентификации пользователей.
6.3.3. производится запись (логирование) входа/выхода работников в/из операционную(ой) систему(ы), работы в автоматизированных рабочих местах, доступа к базам данных.
6.3.4. реализована защита информации от сбоев оборудования и вредоносного программного обеспечения. Применяется система восстановления информации.
6.3.5. при работе в сетях безопасность информации обеспечивается средствами межсетевого экранирования, созданием демилитаризованных зон, виртуальных частных сетей, защищенных каналов связи, применением защищенных протоколов передачи информации и программно-аппаратных средств шифрования информации.
7. Порядок обработки персональных данных Пользователей
7.1. Обработка персональных данных Субъектов производится путем смешанной обработки персональных данных без передачи и с передачей по внутренней сети Компании, c передачей и без передачи по сети Интернет.
7.2. В случае отзыва Субъектом согласия на обработку персональных данных, Компания удаляет персональные данные Субъекта и не использует их в дальнейшем.
7.3. В случае недееспособности Субъекта, согласие на обработку его персональных данных дает в письменной форме законный представитель Субъекта.
7.4. В случае смерти Субъекта согласие на обработку его персональных данных дают в письменной форме наследники Субъекта, если такое согласие не было дано Субъектом при его жизни.
8. Права субъектов на защиту своих Персональных данных
8.1. В целях обеспечения защиты своих Персональных данных Субъект имеет право:
8.1.2. получать полную информацию о своих Персональных данных и обработке этих данных (в том числе автоматизированной);
8.1.3. осуществлять свободный бесплатный доступ к своим Персональным данным, включая право получать копии любой записи, содержащей Персональные данные, за исключением случаев, предусмотренных законодательством РФ;
8.1.4. требовать исключения или исправления неверных или неполных Персональных данных, а также данных, обработанных с нарушением требований законодательства РФ (при отказе Компании или ее уполномоченного лица исключить или исправить Персональные данные, Субъект персональных данных имеет право заявить в письменной форме о своем несогласии, обосновав соответствующим образом такое несогласие; Персональные данные оценочного характера Субъект имеет право дополнить заявлением, выражающим его собственную точку зрения);
8.1.5. обжаловать в суде любые неправомерные действия или бездействие руководителя организации или уполномоченного им лица при обработке и защите Персональных данных;
8.1.6. вносить предложения по мерам защиты Персональных данных.
9. Ответственность за нарушение норм, регулирующих обработку и защиту
Персональных данных
9.1. Должностные лица, имеющие доступ к Персональным данным, несут личную ответственность за нарушение режима защиты Персональных данных в соответствии с законодательством РФ.
9.2. Каждый работник Компании, получающий для работы документ, содержащий Персональные данные, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
9.3. Работники Компании, которым сведения о Персональных данных стали известны в силу их служебного положения, несут ответственность за их разглашение.
9.4. Обязательства по соблюдению конфиденциальности Персональных данных остаются в силе и после окончания работы вышеуказанных лиц.
9.5. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера Компания вправе применять предусмотренные Трудовым кодексом РФ дисциплинарные взыскания.
9.6. Ответственность за соблюдение вышеуказанного порядка обработки Персональных данных несет работник, а также руководитель Структурного подразделения Компании, осуществляющего обработку Персональных данных.
9.7. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту Персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
10. Контроль выполнения требований Законодательства РФ в области персональных данных и настоящей Политики
10.1. Повседневный контроль порядка обращения с Персональными данными осуществляют руководители Структурных подразделений, в которых обрабатываются Персональные данные субъектов.
10.2. Периодический контроль выполнения требований настоящего Положения возлагается на должностное лицо Компании, ответственное за организацию обработки Персональных данных.
10.3. Участие в контроле выполнения требований настоящего Положения могут принимать работники Компании, чьи должностные обязанности предполагают проведение процедур внутреннего контроля.