Политика обработки персональных данных
1. Общие положения

1.1. Настоящая Политика обработки персональных данных в ООО «МОЛИЗЕ» (далее — Политика) разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ) и подзаконных актов, а также в соответствии с иными федеральными законами и подзаконными актами Российской Федерации, определяющими случаи и особенности обработки персональных данных и обеспечения безопасности и конфиденциальности персональных данных.

1.2. Политика разработана в целях реализации требований законодательства в области обработки и обеспечения безопасности персональных данных. Назначение Политики — обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в Компании.

1.3. Политика определяет:
  • Принципы обработки персональных данных;
  • Цели, правовые основания и способы обработки персональных данных;
  • Перечень субъектов персональных данных, чьи персональные данные обрабатываются в Компании;
  • Сроки обработки персональных данных;
  • Порядок и условия обработки персональных данных;
  • Права и обязанности Компании и субъектов персональных данных;
  • Конфиденциальность и безопасность персональных данных.

1.4. Положения Политики являются основой для организации работы по обработке персональных данных в Компании, в том числе, для разработки внутренних (локальных) нормативных актов (приказов, положений, регламентов и пр.), регламентирующих процесс обработки персональных данных в Компании.

1.5. Политика должна быть размещена сайте Компании — www.timetowine.store/ для неограниченного доступа посетителями веб-сайта.

1.6. Обеспечение необходимого и достаточного уровня информационной безопасности информационных активов Компании, к которым в обязательном порядке относятся персональные данные, является важнейшим условием реализации целей деятельности Компании.
2. Термины, определения и сокращения

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Компания — общество с ограниченной ответственностью «МОЛИЗЕ», являющееся оператором, самостоятельно или совместно с другими лицами организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данным.

Конфиденциальность персональных данных — обязательное для соблюдения Компанией или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания

Надзорный орган — орган, уполномоченный на осуществление государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации о персональных данных (Роскомнадзор).

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
3. Принципы обработки персональных данных

3.1. Компания гарантирует субъекту персональных данных соблюдение следующих принципов обработки персональных данных:

  • Обработка персональных данных осуществляется на законной и справедливой основе.
  • Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
  • Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
  • Обработке подлежат только персональные данные, которые отвечают целям их обработки.
  • Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
  • При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Компания принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
  • Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4. Порядок обработки персональных данных

4.1. Обработка персональных данных субъектов персональных данных осуществляется Компанией в заранее определенных целях. В зависимости от конкретных целей обработки персональных данных такая обработка может включать в себя, в частности, совершение всех или некоторых из следующих действий (операций) с персональными данными: сбор (получение), запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, блокирование, удаление, уничтожение персональных данных.

4.2. Компанией обрабатываются персональные данные в следующих целях:
  • Ведение кадрового и бухгалтерского учета;
  • Подготовка, заключение и исполнение гражданско-правовых договоров;
  • Продвижение товаров на рынке.

4.2.1. По цели ведения кадрового и бухгалтерского учета:

1) Правовые основания обработки персональных данных:

  • Нормативные правовые акты Российской Федерации, в том числе, но не исключительно:
— Гражданский кодекс Российской Федерации;
— Налоговый кодекс Российской Федерации;
— Трудовой кодекс Российской Федерации;
— Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования и обязательного социального страхования»;
— Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
— Федеральный закон от 28.12.2013 № 426-ФЗ «О специальной оценке условий труда»;
— Федеральный закон от 22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации»;
— Постановление Правительства Российской Федерации от 27.11.2006 № 719 «Об утверждении Положения о воинском учете».
  • Согласие субъекта персональных данных на обработку его персональных данных.

2) Категории персональных данных по субъектам персональных данных.
Компанией обрабатываются следующие персональные данные по категориям субъектов персональных данных:

  • Работники и уволенные работники:
— Фамилия, имя, отчество;
— Год рождения,
— Месяц рождения,
— Дата рождения,
— Место рождения;
— Пол;
— Гражданство;
— Данные документа, удостоверяющего личность;
— Адрес регистрации;
— Адрес места жительства;
— Идентификационный номер налогоплательщика (ИНН);
— Страховой номер индивидуального лицевого счёта (СНИЛС);
— Сведения об образовании;
— Сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации),
— Номер телефона;
— Отношение к воинской обязанности сведения о воинском учете.

  • Родственники работников:
— Фамилия, имя, отчество;
— Год рождения;
— Данные документа, содержащиеся в свидетельстве о рождении детей.

3) Порядок и условия обработки персональных данных.

  • Компанией в целях обработки персональных данных совершаются следующие разрешенные законодательством действия:
— Сбор;
— Систематизация;
— Накопление;
— Хранение;
— Уточнение (обновление, изменение);
— Извлечение;
— Использование;
— Блокирование;
— Удаление;
— Уничтожение.

  • Способы обработки персональных данных.
— Обработка персональных данных осуществляется Компанией, как автоматизированным способом, так и без использования средств автоматизации, с передачей по внутренней сети Компании и по сети Интернет.

  • Срок обработки и хранения персональных данных:
— Достижение целей обработки персональных данных;
— Истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных.

4.2.2. По цели подготовки, заключения и исполнения гражданско-правовых договоров:

1) Правовые основания обработки персональных данных:

  • Нормативные правовые акты Российской Федерации, в том числе, но не исключительно:
— Гражданский кодекс Российской Федерации;
— Налоговый кодекс Российской Федерации;
— Федеральный закон от 22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации».

  • Согласие субъекта персональных данных на обработку его персональных данных.

2) Категории персональных данных по субъектам персональных данных.
Компанией обрабатываются следующие персональные данные по категориям субъектов персональных данных:

  • Контрагенты и представители контрагентов:
— Фамилия, имя, отчество;
— Номер телефона;
— Адрес электронной почты;
— Адрес регистрации;
— Номер расчетного счета;
— Идентификационный номер налогоплательщика (ИНН);
— Данные документа, удостоверяющего личность;
— Должность.

3) Порядок и условия обработки персональных данных.

  • Компанией в целях обработки персональных данных совершаются следующие разрешенные законодательством действия:
— Сбор;
— Систематизация;
— Накопление;
— Хранение;
— Уточнение (обновление, изменение);
— Извлечение;
— Использование;
— Блокирование;
— Удаление;
— Уничтожение.

  • Обработка персональных данных осуществляется Компанией, как автоматизированным способом, так и без использования средств автоматизации, с передачей по внутренней сети Компании и по сети Интернет.

  • Срок обработки и хранения персональных данных:
— Достижение целей обработки персональных данных;
— Истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных.

4.2.3. По цели продвижение товаров на рынке:

1) Правовые основания обработки персональных данных:

  • Нормативные правовые акты Российской Федерации, в том числе, но не исключительно:
– Гражданский кодекс Российской Федерации.

  • Согласие субъекта персональных данных на обработку его персональных данных.

2) Категории персональных данных по субъектам персональных данных.
Компанией обрабатываются следующие персональные данные по категориям субъектов персональных данных:

  • Посетители сайта:
– Фамилия, имя;
– Номер телефона.

  • Контрагенты и представители контрагентов:
– Фамилия, имя, отчество;
– Год рождения;
– Месяц рождения;
– Дата рождения;
– Номер телефона.

3) Порядок и условия обработки персональных данных.

  • Компанией в целях обработки персональных данных совершаются следующие разрешенные законодательством действия:
– Сбор;
– Систематизация;
– Накопление;
– Хранение;
– Уточнение (обновление, изменение);
– Извлечение;
– Использование;
– Блокирование;
– Удаление;
– Уничтожение.

  • Обработка персональных данных осуществляется Компанией, как автоматизированным способом, так и без использования средств автоматизации, с передачей по внутренней сети Компании и по сети Интернет.

  • Срок обработки и хранения персональных данных:
– Достижение целей обработки персональных данных;
– Истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных.

4.3. Компания в соответствии с Законом № 152-ФЗ может осуществлять обработку персональных данных по поручениям других операторов с согласия субъектов персональных данных.

4.4. Компания в соответствии с Законом № 152-ФЗ вправе поручить обработку персональных данных третьему лицу с согласия субъекта персональных данных. Такая обработка персональных данных осуществляется только на основании договора, заключенного между Компанией и третьим лицом, в котором должны быть определены:
  • Перечень персональных данных;
  • Перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных;
  • Цели обработки персональных данных;
  • Обязанности третьего лица соблюдать конфиденциальность персональных данных;
  • Требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Закона № 152-ФЗ;
  • Обязанность по запросу Компании персональных данных в течение срока действия поручения Компании, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Компании требований, установленных в соответствии со статьей 18.1 Закона № 152-ФЗ;
  • Обязанность обеспечивать безопасность персональных данных при их обработке;
  • Требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Закона № 152-ФЗ;
  • Требование об уведомлении Компании о случаях, предусмотренных частью 3.1 статьи 21 Закона № 152-ФЗ.

4.5. Компания несет ответственность перед субъектом персональных данных за действия лиц, которым Компания поручает обработку персональных данных субъекта персональных данных.

4.6. Компания осуществляет передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.

4.7. Трансграничная передача персональных данных в Компании не осуществляется.

4.8. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации Компанией, а обработка должна быть прекращена, соответственно.

4.9. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
  • Иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • Компания не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом № 152-ФЗ или иными федеральными законами;
  • Иное не предусмотрено иным соглашением между Компанией и субъектом персональных данных.

4.10. При осуществлении хранения персональных данных Компания использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Закона № 152-ФЗ.
5. Права и обязанности Компании и Субъектов персональных данных

5.1. Субъект персональных данных в соответствии с Законом № 152-ФЗ имеет право:

  • Свободно, своей волей и в своем интересе предоставлять свои персональные данные и давать согласие на их обработку;
  • Направлять в Компанию обращения, в том числе повторные, и получать информацию по вопросам обработки персональных данных, принадлежащих субъекту персональных данных, в порядке, форме, объеме и в сроки, установленные законодательством Российской Федерации;
  • Требовать от Компании уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством Российской Федерации меры по защите своих прав и законных интересов, в том числе право на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
  • Обратиться с требованием к Компании прекратить обработку своих персональных данных, а также отозвать предоставленное согласие на обработку персональных данных;
  • Осуществлять иные права, предусмотренные законодательством Российской Федерации.

5.2. Компания в соответствии с требованиями Закона № 152-ФЗ обязана:
  • Предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ;
  • По требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • Не раскрывать и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации;
  • В случае получения персональных данных не от субъекта персональных данных до начала обработки персональных данных предоставить субъекту персональных данных информацию, предусмотренную Законом № 152-ФЗ, с учетом установленных законодательством Российской Федерации исключений;
  • Разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные и (или) дать согласие на обработку персональных данных, если предоставление персональных данных и (или) получение согласия на обработку персональных данных является обязательным в соответствии с законодательством Российской Федерации;
  • Прекратить обработку и уничтожить персональные данные в случаях:
— Достижения целей (цели) обработки персональных данных или в случае утраты необходимости в достижении цели (целей) обработки персональных данных, если иное не установлено Законом № 152-ФЗ или иными применимыми нормативными правовыми актами Российской Федерации;
— Отзыва субъектом персональных данных своего согласия на обработку персональных данных;
— Предъявлении субъектом персональных данных требования о прекращении обработки персональных данных, если иное не установлено Законом № 152-ФЗ;
— Выявления неправомерной обработки Компанией персональных данных (при невозможности обеспечить правомерность обработки).

  • Принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
  • Уведомить Роскомнадзор в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, в порядке и сроки, установленные законодательством о персональных данных;
  • Осуществлять взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности;
  • Сообщать в Роскомнадзор, по запросу этого органа необходимую информацию;
  • Выполнять иные обязанности, предусмотренные законодательством Российской Федерации.

5.3..Компания в соответствии с требованиями Закона № 152-ФЗ имеет право:
  • Отстаивать свои интересы в суде;
  • Обрабатывать персональные данные субъектов персональных данных в отсутствие согласия на обработку персональных данных в случаях, предусмотренных Законом № 152- ФЗ;
  • Осуществлять передачу персональных данных субъектов персональных данных третьим лицам, государственным органам, муниципальным органам власти, государственным учреждениям, государственным внебюджетным фондам, иным лицам (если применимо), если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.) или имеется согласие субъекта на такую передачу;
  • Поручить обработку персональных данных субъектов персональных данных третьим лицам при наличии соответствующих правовых оснований и соблюдении требований Закона № 152-ФЗ;
  • Отказать субъекту персональных данных в предоставлении сведений об обработке его персональных данных в случаях, предусмотренных Законом № 152-ФЗ;
  • Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством Российской Федерации;
  • Самостоятельно, с учетом требований Закона № 152-ФЗ, определять перечень необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления персональных данных, а также от иных неправомерных действий в отношении персональных данных на основании проведенной оценки актуальных угроз безопасности персональных данных, а также определять порядок реализации указанных мер и проводить оценку эффективности принимаемых мер;
  • Реализовывать иные права, предусмотренные законодательством Российской Федерации.
6. Конфиденциальность персональных данных

6.1. Доступ к персональным данным ограничивается в соответствии с законодательством Российской Федерации.

6.2. Доступ к обрабатываемым персональных данных предоставляется только тем работникам Компании, которым он необходим в связи с исполнением ими своих должностных обязанностей.

6.3. Работники Компании, получившие доступ к персональным данным, принимают на себя обязательства по обеспечению конфиденциальности и безопасности обрабатываемых персональных данных.

6.4. Компания не раскрывает третьим лицам и не распространяет персональных данных без согласия на это субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

6.5. Третьи лица, получившие доступ к персональным данным, или осуществляющие обработку персональных данных по поручению Компании, обязуются соблюдать требования договоров и соглашений с Компанией в части обеспечения конфиденциальности и безопасности персональных данных.
7. Безопасность персональных данных

7.1. Безопасность персональных данных Компании обеспечивается с помощью системы защиты персональных данных, включающей правовые, организационные и технические меры.

7.2. В целях обеспечения безопасности персональных данных в Компании выполняются необходимые мероприятия, в том числе:
  • Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  • Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • Учет машинных носителей персональных данных;
  • Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
  • Установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
8. Заключительные положения

8.1. Политика является общедоступной и подлежит размещению на официальном веб-сайте Компании https://www.timetowine.store/.

8.2. Пересмотр Политики должен осуществляться:
  • При изменении законодательства Российской Федерации в области обработки персональных данных;
  • В случаях получения предписаний на устранение несоответствий, затрагивающих область действия Политики;
  • По решению Генерального директора Компании;
  • При появлении необходимости в изменении целей, принципов и условий обработки персональных данных в Компании.

8.3. Контроль исполнения требований Политики осуществляется лицами, ответственными за организацию обработки и обеспечение безопасности персональных данных в Компании.

8.4. За невыполнение требований Политики все работники Компании, имеющие доступ к персональным данным, несут ответственность в соответствии с законодательством Российской Федерации.

8.5. Лица, виновные в нарушении требований законодательства в области персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.

8.6. Субъекты персональных данных, чьи персональные данные обрабатываются Компанией, могут получить разъяснения по вопросам обработки своих персональных данных, а также реализовать свои права и законные интересы, направив соответствующее письменное обращение:
  • По адресу: 610000, г.Киров, ул.Московская, 23, пом 1003
  • В электронной форме по адресу: timetowine.store@yandex.ru.