Политика обработки персональных данных

1. 1.       Общие положения

1.1.  Настоящая Политика в отношении обработки персональных данных субъектов различных категорий (далее по тексту – «Политика») утверждена в соответствии с требованиями законодательства Российской Федерации, в том числе Конституции РФ, Трудового кодекса РФ, Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 года, иных нормативных правовых актов Российской Федерации и определяет позицию НЧОУ ДПО «УЭЦ «Строитель» (далее по тексту – «Общество») в области обработки и защиты персональных данных, обеспечения конфиденциальности персональных данных каждого субъекта, соблюдения гарантированных прав и свобод.

1.2.  Настоящая Политика распространяется на персональные данные, полученные как до, так и после утверждения настоящей Политики.

1.3.  Общество принимает все установленные российским законодательством правовые, организационные и технические меры для обеспечения безопасности персональных данных при их обработке.

1. 2.       Основные понятия

2.1.  Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В зависимости от целей обработки персональных данных к персональным данным может быть отнесена такая информация как: ФИО, год, месяц, дата и место рождения, адрес регистрации и проживания, сведения о семейном, социальном, имущественном положении, сведения об образовании, профессии, доходах, имуществе, номер телефона, адрес электронной почты для связи, информация о кандидатах на вакантные должности, оставленная такими кандидатами при заполнение анкеты, включая информацию, содержащуюся в резюме кандидата, а также другая информация.

2.2.  Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.3.  Субъектами персональных данных, обрабатываемых Обществом являются:

• Клиенты - потребители, заказчики (покупатели) товаров, посетители сайта: http://ucstroitel.ru(далее по тексту – «Сайт») при оформлении «личного кабинета», в том числе с целью оформления заказа на Сайте, при осуществления доставки покупателю, получатели услуг по доставке;
• физические лица, с которыми Общество заключает гражданско-правовые договоры;
• работники Общества, родственники работников Общества, в пределах определяемых законодательством Российской Федерации, если сведения о них предоставляются работником;
• кандидаты на вакантные должности.

1. 3.       Условия и цели обработки персональных данных

3.1.  Обработка персональных данных осуществляется Обществом при соблюдении следующих условий:

• обработка персональных данных осуществляется на законной и справедливой основе;
• персональные данные не раскрываются третьим лицам и не распространяются без согласия субъекта данных, в случае, если наличие такого согласия установлено действующим законодательством РФ;
• определение конкретных законных целей до начала обработки (в т.ч. сбора) персональных данных;
• осуществляется запрос только тех персональных данных, которые являются необходимыми и достаточными для заявленной цели обработки;
• объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой не допускается;
• обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
• обрабатываемые персональные данные подлежат уничтожению или обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.

3.2.  Общество осуществляет обработку персональных данных субъектов в следующих целях:

3.2.1.    осуществления возложенных на Общество законодательством Российской Федерации функций, полномочий и обязанностей, предусмотренных в том числе: Гражданским кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Семейным кодексом Российской Федерации, Федеральным законом от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Федеральным законом от 28.03.1998 г. № 53-ФЗ «О воинской обязанности и военной службе», Федеральным законом от 26.02.1997 г. № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации», Федеральным законом от 8.02.1998 г. №14-ФЗ «Об обществах с ограниченной ответственностью», Федеральным законом от 07.02.1992 №2300-1 «О защите прав потребителей», Федеральным законом от 21.11.1996 г. № 129-ФЗ «О бухгалтерском учете», Федеральным законом от 29.11.2010 г. № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», Уставом и локальными актами Общества.

3.2.2.    В отношении Клиентов Общества:

• регистрации/авторизации Клиента на Сайте;
• предоставления информации по товарам/услугам, проходящим акциям, скидкам и специальным предложениям посредством электронных рассылок;
• анализа покупательских особенностей Клиента и предоставления персональных рекомендаций
• для осуществления деятельности по продвижению товаров и услуг;
• информирования о статусе заказа;
• исполнения договора, в т.ч. договора купли-продажи, в.т.ч. заключенного дистанционным способом на Сайте, возмездного оказания услуг;
• обработки заказов Клиента и для выполнения своих обязательств перед Клиентом
• учета оказанных клиентам услуг для осуществления взаиморасчетов;
• доставки заказанного товара клиенту, совершившему заказ на Сайте, возврата товара.
• анализа качества предоставляемого Обществом сервиса и улучшению качества обслуживания клиентов Общества;
• оценки и анализа работы Сайта.

3.2.3.    В отношении Контрагентов Общества - физических лиц:

• заключения и исполнения договора, одной из сторон которого является физическое лицо;
• рассмотрения возможностей взаимовыгодного  сотрудничества.

3.2.4.    В отношении Работников Общества:

• соблюдения трудового, налогового и пенсионного законодательства Российской Федерации;
• трудоустройства, обучения и продвижения по службе; расчета и начисления заработной платы;
•  организация командировок работников;
• оформления доверенностей для осуществления трудовой функции;
•  обеспечения личной безопасности работников;
•  контроля количества и качества выполняемой работы; o обеспечения сохранности имущества;
• соблюдения пропускного режима в помещениях Общества;
• учета рабочего времени;
• пользования различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, а также Уставом и нормативными актами Общества;
•  добровольного страхования жизни, здоровья и/или от несчастных случаев.

3.2.5.    В отношении Родственников работников Общества:

• исполнения требований законодательства Российской Федерации;
• предоставления дополнительных льгот, предусмотренных действующим законодательством РФ.

3.2.6.    В отношении Кандидатов на вакантные должности Общества:

• принятия решения о возможности заключения трудового договора с лицами, претендующими на открытые вакансии.

1. 4.       Права и обязанности субъектов персональных данных, а также Общества в части обработки персональных данных

4.1.  .Субъект персональных данных имеет право:

4.1.1.    получать от Общества:

• подтверждение факта обработки персональных данных и сведения о наличии персональных данных, относящихся к соответствующему субъекту персональных данных;
• сведения о правовых основаниях и целях обработки персональных данных;
• сведения о применяемых Обществом способах обработки персональных данных;
• сведения о наименовании и местонахождении Общества;
• сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
• перечень обрабатываемых персональных данных, относящихся к субъекту персональных данных, и информацию об источнике их получения, если иной порядок предоставления таких персональных данных не предусмотрен федеральным законом;
• сведения о сроках обработки персональных данных, в том числе о сроках их хранения;
• сведения о порядке осуществления субъектом персональных данных прав, предусмотренных действующим законодательством;
• иные сведения, предусмотренные нормативно-правовыми актами Российской Федерации;

4.1.2.    требовать от Общества уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

4.1.3.    отозвать свое согласие на обработку данных в любой момент;

4.1.4.    требовать устранения неправомерных действий Общества в отношении его персональных данных;

4.1.5.    обжаловать действия или бездействие Общества в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований действующего законодательства или иным образом нарушает его права и свободы;

4.1.6.    на защиту своих прав и законных интересов, в том числе на возмещения убытков и/или компенсацию морального вреда в судебном порядке.

4.2.   Общество в процессе обработки персональных данных обязано:

4.2.1.    предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ в течение тридцати дней со дня получения запроса субъекта персональных данных или его уполномоченного (законного) представителя;

4.2.2.    разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные, если предоставление персональных данных является обязательным в соответствии с федеральным законом;

4.2.3.    до начала обработки персональных данных (если персональные данные получены не от субъекта персональных данных) предоставить субъекту персональных данных информацию, предусмотренную действующим законодательством;

4.2.4.    принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

4.2.5.    опубликовать в сети Интернет и обеспечить неограниченный доступ с использованием сети Интернет к документу, определяющему политику Общества в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;

4.2.6.    предоставить субъектам персональных данных и/или их уполномоченным (законным) представителям безвозмездно возможность ознакомления с персональными данными при обращении с соответствующим запросом в течение 30 дней со дня получения подобного запроса;

4.2.7.    осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к субъекту персональных данных, или обеспечить их блокирование с момента обращения или получения запроса на период проверки, в случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его уполномоченного (законного) представителя либо по запросу субъекта персональных данных или его уполномоченного (законного) представителя либо уполномоченного органа по защите прав субъектов персональных данных;

4.2.8.    уточнить персональные данные в течение 7 рабочих дней со дня представления сведений и снять блокирование персональных данных в случае подтверждения факта неточности персональных данных на основании сведений, представленных субъектом персональных данных или его уполномоченным (законным) представителем;

4.2.9.    прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Общества, в случае выявления неправомерной обработки персональных данных, осуществляемой Обществом или лицом, действующим на основании договора с Обществом, в срок, не превышающий 3 рабочих дней со дня этого выявления;

4.2.10. прекратить обработку персональных данных и уничтожить персональные данные по достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, в случае достижения цели обработки персональных данных;

4.2.11. прекратить обработку персональных данных или обеспечить ее прекращение и уничтожить персональные данные или обеспечить их уничтожение в случае отзыва субъектом персональных данных согласия на обработку персональных данных, если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных;

4.2.12. вести «Журнал учета обращений субъектов персональных данных», в котором должны фиксироваться запросы субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по этим запросам.

1. 5.       Требования к защите персональных данных

5.1.  Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.2.  К таким мерам, в частности, относятся:

5.2.1.    назначение лица, ответственного за организацию обработки персональных данных, и лица, ответственного за обеспечение безопасности персональных данных;

5.2.2.    разработка и утверждение локальных актов по вопросам обработки и защиты персональных данных;

5.2.3.    применение правовых, организационных и технических мер по обеспечению безопасности персональных данных:

• определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
• применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• оценка  эффективности  принимаемых  мер  по  обеспечению  безопасности  персональных данных  до  ввода  в эксплуатацию информационной системы персональных данных;
• учет машинных носителей персональных данных, если хранение персональных данных осуществляется на машинных носителях;
• обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по недопущению подобных инцидентов в дальнейшем;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональных данных в информационной системе персональных данных.

5.2.4.    контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных;

5.2.5.    оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Закона, соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом;

5.2.6.    соблюдение условий, исключающих несанкционированный доступ к материальным носителям персональных данных и обеспечивающих сохранность персональных данных;

5.2.7.    ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами по вопросам обработки и защиты персональных данных, и обучение работников Общества.

1. 6.       Сроки обработки (хранения) персональных данных

6.1.  Сроки обработки (хранения) персональных данных определяются исходя из целей обработки персональных данных, в соответствии со сроком действия договора с субъектом персональных данных, требованиями федеральных законов, требованиями операторов персональных данных, по поручению которых Общество осуществляет обработку персональных данных, основными правилами работы архивов организаций, сроками исковой давности.

6.2.  Персональные данные, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом. Хранение персональных данных после прекращения их обработки допускается только после их обезличивания.

1. 7.       Порядок получения разъяснений по вопросам обработки персональных данных

7.1.  Лица, чьи персональные данные обрабатываются Обществом, могут получить разъяснения по вопросам обработки своих персональных данных, обратившись лично в Общество или направив соответствующий письменный запрос по адресу местонахождения Общества: 620057, г. Екатеринбург, ул. Совхозная, дом 18, к. 29.

7.2.  В случае направления официального запроса в Общество в тексте запроса необходимо указать:

• фамилию, имя, отчество субъекта персональных данных или его представителя;
• номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие наличие у субъекта персональных данных отношений с Обществом;
• информацию для обратной связи с целью направления Обществом ответа на запрос;
• подпись субъекта персональных данных (или его представителя). Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

1. 8.        Заключительные положения

8.1.  Настоящая Политика является локальным нормативным актом Общества. Настоящая Политика является общедоступной. Общедоступность настоящей Политики обеспечивается публикацией на сайте: http://ucstroitel.ru и размещением в месте нахождения Общества.

8.2.  Настоящая Политика может быть пересмотрена в любом из следующих случаев:

• при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;
• в случаях получения предписаний от компетентных государственных органов на устранение несоответствий, затрагивающих область действия Политики;
• при изменении целей и сроков обработки персональных данных;
• при изменении организационной структуры, структуры информационных и/или телекоммуникационных систем (или введении новых);
• при применении новых технологий обработки и защиты  персональных данных (в т. ч. передачи, хранения);
• при появлении необходимости в изменении процесса обработки персональных данных, связанной с деятельностью Общества.

8.3.  В случае неисполнения положений настоящей Политики Общество и его работники несут ответственность в соответствии с действующим законодательством Российской Федерации.

8.4.  Контроль исполнения требований настоящей Политики осуществляется лицами, ответственными за организацию обработки персональных данных в Обществе, а также за безопасность персональных данных.