УТВЕРЖДЕНО
приказом директор ООО «ДэБотэ»

                                                                                              от «20» февраля 2019г. № 07

ПОЛИТИКА

обработки персональных данных

ООО ««Центр красоты и здоровья кожи «ДэБотэ» (ООО «ДэБотэ»)

 

  1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее — Политика обработки ПДн) ООО ««Центр красоты и здоровья кожи «ДэБоты»» (далее – Оператор), ИНН 2130202153, расположенного по адресу: 428011, Чувашская Республика, г.Чебоксары, ул.Стартовая, д.8, помещение 1, разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом 27 июля 2006 года № 152-ФЗ "О персональных данных", постановлением Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", иными федеральными законами и нормативно-правовыми актами.

1.2. Политика разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.

1.3. Политика обработки ПДн разработана с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных (далее – ПДн).

1.4. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в ООО «ДэБотэ» вопросы обработки персональных данных работников ООО «ДэБотэ» и других субъектов персональных данных.

 

  1. Цели обработки персональных данных

 

Персональные данные обрабатываются Оператором в следующих целях:

- личная информация (фамилия, имя, отчество, в том числе, прежние; пол; год, месяц, дата рождения; возраст; место рождения, национальность, гражданство);

- контактная информация (почтовый адрес, номера телефонов, адреса электронной почты, псевдонимы, идентификаторы в социальных сетях и сервисах коммуникаций); адреса регистрации и фактического проживания;

- сведения о документах, удостоверяющих личность; водительском удостоверении; сведения о идентификационных номерах субъекта в государственных системах учета (например, ИНН, СНИЛС и др.);

- сведения о полисах обязательного и добровольного медицинского страхования;

- профессиональная деятельность (место работы; должность; структурное подразделение; табельный номер; стаж; участие в юридических лицах; полномочия);

- навыки и квалификация (полученное образование; профессия; присвоенные специальности; владение иностранными языками; пройденные обучающие курсы, стажировки и практики);

- сведения о семье (семейное положение; состав семьи; законные представители, ближайшие родственники);

- социальное положение; имущественное положение; сведения о транспортных средствах;

- сведения о договорах и соглашениях, их статусах; сведения о участии в партнерских и бонусных программах; реферальные промокоды; сведения об используемых продуктах и услугах;

- рекомендации и отзывы; сведения об оценке персонала;

- финансовое состояние; платежные реквизиты; доходы; сведения о налоговых и иных отчислениях в государственные фонды; сведения о начислениях и удержаниях денежных средств, вознаграждений в иной форме; сведения о совершенных покупках, заказах товаров и услуг; сведения о платежах;

- сведения о присутствии в отдельных государственных реестрах, базах данных и перечнях;

- сведения о воинском учете; сведения о миграционном учете;

- фото- и видеоизображение; речевая информация (запись голоса);

- электронные пользовательские данные (идентификаторы пользователя, сетевые адреса, файлы cookies, идентификаторы устройств, размеры и разрешение экрана, сведения об аппаратном и программном обеспечении, например, браузерах, операционной системе, установленных приложениях, геолокация, языковые настройки, часовой пояс, время и статистика использования приложений и информационных ресурсов ООО «ДэБотэ», действия пользователей в сервисах, источники переходов на веб-страницы, отправленные поисковые и иные запросы, созданный пользователем контент); сертификаты электронной подписи;

- увлечения и хобби; личные интересы; вкусы и предпочтения; подписки на рассылки;

- состояние здоровья; сведения об инвалидности, о нетрудоспособности;

- сведения о поощрениях, наградах, взысканиях и привлечении к ответственности;

иные сведения, предусмотренные типовыми формами, установленным порядком и целями обработки.

 

  1. Правовое основание обработки персональных данных

 

Обработка персональных данных осуществляется ООО «ДэБотэ» на законной и справедливой основе, основными правовыми основания для обработки являются:

- Конституция Российской Федерации;

- Трудовой кодекс Российской Федерации;

- Гражданский кодекс Российской Федерации;

- Налоговый кодекс Российской Федерации;

- Федеральный закон от 27 июля 2006 года № 152-ФЗ "О персональных данных";

- Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ;

- Федеральный закон от 10.01.2002 г. № 1-ФЗ «Об электронной цифровой подписи»;

- Федеральный закон от 06.04.2011 г. № 63-ФЗ «Об электронной подписи»;

- Федеральный закон от 07.07.2003 г. № 126-ФЗ «О связи»;

- Федеральный закон от 04.05.2011г. № 99-ФЗ «О лицензировании отдельных видов деятельности»;

- Федеральный закон от 06.12.2011 г. № 402-ФЗ «О бухгалтерском учете»;

- Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

- Федеральный закон от 24.07.2009г. № 212-ФЗ «О страховых взносах в Пенсионный Фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;

- Федеральный закон от 22.10.2004г. № 125-ФЗ «Об архивном деле в РФ»;

- Федеральный закон от 19.12.2012г. № 273-ФЗ «Об образовании в Российской Федерации»;

- Федеральный закон от 22.05.2003г. № 54-ФЗ «О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием электронных средств платежа;-

- Закон РФ от 27 декабря 1991 г. № 2124-1 «О средствах массовой информации»;

- Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации.  Утверждено постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687;

- Постановление от 1 ноября 2012 г. N 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных;

- приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;

- приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

- приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;

- приказ ФНС от 17 ноября 2010 г. № ММВ-7-3/611 "Об утверждении формы сведений о доходах физических лиц и рекомендации по ее заполнению, формата сведений о доходах физических лиц в электронном виде, справочников";

- Уставы Общества;

- Договоры и соглашения Общества;

- Согласия субъектов персональных данных;

- иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.

 

  1. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

 

4.1. Содержание и объем обрабатываемых персональных данных определяются исходя из целей обработки. Не обрабатываются персональные данные, избыточные или несовместимые по отношению к следующим основным целям:

- заключение трудовых отношений с физическими лицами, подбор персонала;

- заключение, продление договорных отношений Обществ;

- идентификация сторон договоров, соглашений, сделок Обществ;

- выполнение договорных обязательств Обществ, включая оказание услуг, предоставление прав на использование программного обеспечения ООО «ДэБотэ»;

- использование юридическими и физическими лицами веб-сайтов и иных информационных ресурсов Обществ в соответствии с их правилами пользования, лицензионными соглашениями;

- регистрация, идентификация и персонализация пользователей сайтов, приложений и иных информационных ресурсов Обществ; предоставление доступа к ресурсам и функциям, доступным только для зарегистрированных пользователей; повышение удобства работы пользователей, улучшение услуг ООО «ДэБотэ»Ц;

- осуществление связи с физическими и юридическими лицами для направления им уведомлений, ответов на запросы, рассылок и информационных сообщений, а также сообщений маркетингового характера для продвижения услуг ООО «ДэБотэ» и партнерских организаций;

- осуществление деятельности удостоверяющего центра в соответствии с законодательством Российской Федерации об электронной подписи;

- осуществление деятельности оператора фискальных данных в соответствии с законодательством Российской Федерации о фискальных данных;

- осуществление деятельности операторов электронного документооборота в соответствии с законодательством Российской Федерации, нормативными документами государственных органов Российской Федерации;

- осуществление деятельности средства массовой информации в соответствии с законодательством Российской Федерации;

- участие физических лиц в реферальных, бонусных программах, программах лояльности ООО «ДэБотэ» и партнерских организаций;

- защита законных интересов Обществ, их партнеров и клиентов; противодействие незаконным или несанкционированным действиям, мошенничеству при использовании потребителями и предоставлении услуг ООО «ДэБотэ», обеспечение информационной безопасности;

- организация пропускного режима на территории здания ООО «ДэБотэ», обеспечение сохранности имущества и безопасности сотрудников и посетителей Обществ;

- организация конференций, семинаров, вебинаров, иных публичных мероприятий в интересах ООО «ДэБотэ», партнерских организаций, профессиональных сообществ;

- прохождение физическими лицами стажировок, практик в Обществах, обучения в партнерских образовательных учреждениях;

- предоставление социального пакета, материальной помощи, компенсаций и льгот сотрудникам Обществ;

- проведение исследований по тематике деятельности Обществ, использования услуг ООО «ДэБотэ» для разработки новых услуг, контроля качества;

- сбор, обработка аналитических и статистических данных по тематике деятельности ООО «ДэБотэ», использования информационных ресурсов, продуктов и услуг ООО «ДэБотэ»;

- соблюдение действующего трудового, бухгалтерского, пенсионного, иного законодательства Российской Федерации;

- соблюдение иного применимого к деятельности СКБ Контур законодательства, в том числе, международного или местного законодательства стран, в отношении граждан которых СКБ Контур или отдельные Общества ведут деятельность.

К основным категориям субъектов персональных данных, чьи данные обрабатываются в ООО «ДэБотэ», относятся:

- посетители и пользователи сайтов, приложений и информационных ресурсов ООО «ДэБотэ»;

- физические лица, состоящие или состоявшие в трудовых и гражданско-правовых отношениях с ООО «ДэБотэ», их ближайшие родственники, рекомендатели, а также лица, имеющие намерения вступить в такие отношения, например, кандидаты на замещение вакантных должностей;

- физические лица, состоящие или состоявшие в трудовых и гражданско-правовых отношениях с контрагентами ООО «ДэБотэ», а также лица, имеющие намерения вступить в такие отношения;

- физические лица, проходящие в ООО «ДэБотэ» стажировки, практики от учебных заведений;

- физические лица, указанные в различных государственных реестрах, базах данных, общедоступных и иных источниках, которые получены законным способом и используются при оказании услуг ООО «ДэБотэ» в качестве источников данных;

- физические лица, обратившиеся в ООО «ДэБотэ» с запросами, сообщениями, заявлениями, жалобами, предложениями с использованием контактной информации или средств сбора обратной связи;

- физические лица, участвующие в интервью, опросах, аналитических и маркетинговых исследованиях по тематике деятельности Общества;

- участники мероприятий, организованных ООО «ДэБотэ» или организациями-партнерами;

- посетители Общества;

- учредители Общества.

4.2. Состав ПДн каждой из перечисленных в п. 5.1 настоящего Положения категории субъектов определяется согласно нормативным документам, перечисленным в разделе 3 настоящего Положения, а также нормативным документам Учреждения, изданным для обеспечения их исполнения.

4.3. В случаях, предусмотренных действующим законодательством, субъект персональных данных принимает решение о предоставлении его ПДн Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе.

4.4. Оператор обеспечивает соответствие содержания и объема обрабатываемых ПДн заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.

4.5. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в ООО «ДэБотэ» не осуществляется.

 

  1. Порядок и условия обработки персональных данных

 

5.1. При обработке ПДн Оператор будет осуществлять следующие действия с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

5.2. Обработка персональных данных в ООО «ДэБотэ» осуществляется следующими способами:

1) неавтоматизированная обработка персональных данных;

2) автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

3) смешанная обработка персональных данных.

5.3. При обработке обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. При обнаружении неточных или неполных персональных данных может производиться их уточнение и актуализация. В случаях, когда актуализация персональных данных находится вне зоны ответственности ООО «ДэБотэ», обработка может быть приостановлена до момента актуализации. Обязанности и ответственность за своевременную актуализацию персональных данных для отдельных случаев обработки могут устанавливаться соглашениями или локальными актами ООО «ДэБотэ».

5.4. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или соглашением с субъектом персональных данных не установлен соответствующий срок хранения.

5.5. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:

- достижение целей обработки персональных данных или максимальных сроков хранения – подлежит уничтожению либо обезличиванию в течение 30 дней;

- утрата необходимости в достижении целей обработки персональных данных – в течение 30 дней;

- предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки – в течение 7 дней;

- невозможность обеспечения правомерности обработки персональных данных – в течение 10 дней;

- отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных – в течение 30 дней;

- отзыв субъектом персональных данных согласия на использование персональных данных для контактов с потенциальными потребителями при продвижении товаров и услуг – в течение 2 дней;

- истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных;

- ликвидация (реорганизация) Общества, если обработка осуществлялась исключительно в интересах данного Общества.

 

  1. Обеспечение защиты персональных данных при их обработке Оператором

 

6.1. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152 "О персональных данных", постановлением Правительства от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства от 01 ноября 2012 года № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказом ФСТЭК от 18 февраля 2013 года № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", и другими нормативными правовыми актами, если иное не предусмотрено федеральными законами. К таким мерам относятся:

– назначение Оператором ответственного за организацию обработки персональных данных;

– издание Оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

– применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

– осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;

– определение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных";

– ознакомление сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников.

6.2. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

  1. Право субъекта персональных данных на доступ к его персональным данным

 

7.1. Субъект ПДн вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7.2. Сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

7.3. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.

7.4. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

– подтверждение факта обработки персональных данных Оператором;

– правовые основания и цели обработки персональных данных;

– цели и применяемые Оператором способы обработки персональных данных;

– наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

– сроки обработки персональных данных, в том числе сроки их хранения;

–порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом "О персональных данных";

– информацию об осуществленной или о предполагаемой трансграничной передаче данных;

– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу.

7.5. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона "О персональных данных" или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в орган, уполномоченный по вопросам защиты прав субъектов персональных данных, или в судебном порядке.

7.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.