Политика в отношении обработки и защиты персональных данных

1. Общие положения

Политика в отношении обработки и защиты персональных данных в ООО «Джи Ди Фарм Логистикс» (далее по тексту - Общество) определяет позицию и намерения Общества в области обработки и защиты персональных данных.

Политика в отношении обработки и защиты персональных данных (далее по тексту - Политика) разработана в соответствии с Конституцией РФ, Гражданским кодексом РФ, Федеральным законом РФ от 27.07.2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федерального закона РФ от 27.07.2006 г. № 152-ФЗ "О персональных данных" и иными нормативными правовыми актами Российской Федерации.

Целями Политики являются определение обработки и обеспечения безопасности персональных данных.

Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Обществе с применением средств автоматизации и без применения таких средств. Политика распространяется на все бизнес процессы Общества и обязательна к выполнению всеми сотрудниками Общества.

Политика является общедоступным документом и подлежит размещению на официальном сайте Общества.

2. Определения

• Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Персональные данные относятся к конфиденциальной информации ограниченного доступа.
• Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
• Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
• Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
• Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
• Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
• Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
• Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
• Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
• Безопасность персональных данных - защищенность персональных данных от неправомерного и/или несанкционированного и/или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
• Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

3. Субъекты персональных данных

Субъектами персональных данных, обрабатываемых Обществом, являются:

• Кандидаты на вакантные должности
• Сотрудники Общества
• Лица, входящие в органы управления Общества и не являющимися работниками.
• Физические лица, с которыми Обществом заключаются договоры гражданско-правового характера.
• Представители юридических лиц, индивидуальные предприниматели – контрагентов Общества.
• Клиенты – потребители, в т.ч. посетители сайта, принадлежащего Обществу с целью оформления заказа на Сайте.
• Физические лица, персональные данные которых обрабатываются в интересах третьих лиц – операторов персональных данных на основании договора (поручения операторов персональных данных).

4. Персональные данные, обрабатываемые Обществом

• Данные, полученные при осуществлении трудовых отношений.
• Данные, полученные для осуществления отбора кандидатов на работу.
• Данные, полученные при осуществлении гражданско-правовых отношений.
• Данные, полученные от Клиентов для осуществления услуг

5. Цели обработки персональных данных

Общество осуществляет обработку персональных данных субъектов в целях осуществления возложенных на Общество законодательством Российской Федерации функций, полномочий и обязанностей в соответствии с федеральными законами, в том числе, но не ограничиваясь: Гражданским кодексом РФ, Налоговым кодексом РФ, Трудовым кодексом РФ, Семейным кодексом РФ, Федеральным законом от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Федеральным законом от 07.02.1992 № 2300-1 «О защите прав потребителей», Федеральным законом от 21.11.1996 г. № 129-ФЗ «О бухгалтерском учете», Федеральным законом от 29.11.2010 г. № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», а также операторами персональных данных, уставом и локальными актами Общества.

• Цель обработки персональных данных контрагентов - физических лиц – заключение и исполнение договора, одной из сторон которого является физическое лицо; рассмотрение возможностей дальнейшего сотрудничества.
• Цель обработки персональных данных представителей юридических лиц - контрагентов Общества – ведения переговоров, заключение и исполнение договоров, по которым предоставляются персональные данные работников такого юридического лица для целей исполнения договора по различным направлениям хозяйственной деятельности Общества.
• Цель обработки персональных данных физических лиц, персональные данные которых обрабатываются в интересах третьих лиц - операторов персональных данных на основании договора (поручения операторов персональных данных), – исполнение договоров - поручений операторов персональных данных.
• Цель обработки персональных данных клиентов - потребителей:
  • Исполнение договора
  • Предоставление услуг по доставке, сборке и иных услуг, а также учета оказанных потребителю услуг для осуществления взаиморасчетов.
  • Информирование о статусе услуги.
  • Анализ качества предоставляемого Обществом услуг, улучшению качества обслуживания клиентов Общества.

6. Принципы и условия обработки персональных данных

• При обработке персональных данных Общество придерживается следующих принципов:
• Обработка персональных данных осуществляется на законной и справедливой основе.
• Персональные данные не раскрываются третьим лицам и не распространяются без согласия субъекта персональных данных, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.
• Ведется сбор только тех персональных данных, которые являются необходимыми и достаточными для заявленной цели обработки.
• Объединение баз данных, содержащих персональных данных, обработка которых осуществляется в целях, несовместимых между собой не допускается.
• Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.
• При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных персональных данных.
• Обрабатываемые персональные данные подлежат уничтожению или обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
• Хранение персональных данных может осуществляться не дольше, чем этого требуют цели обработки, если иное не предусмотрено федеральными законами РФ. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
• В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Общество в ходе своей деятельности предоставляет персональные данные следующим организациям:

  – Федеральной налоговой службе;
  – Пенсионному фонду;
  – Негосударственным пенсионным фондам;
  – Страховым медицинским организациям, осуществляющим страхование;
  – не поручает обработку персональных данных другим лицам на основании договора.

Общество не осуществляет обработку персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах.

Общество не осуществляет трансграничную передачу персональных данных.

Общество вправе осуществлять передачу персональных данных третьим лицам в случаях, предусмотренных законодательством Российской Федерации.

В целях исполнения требований действующего законодательства Российской Федерации и своих договорных обязательств обработка персональных данных в Обществе осуществляется как с использованием, так и без использования средств автоматизации. Совокупность операций обработки включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Способы обработки персональных данных

В целях исполнения требований действующего законодательства Российской Федерации и своих договорных обязательств Общество использует как автоматизированную обработку персональных данных, так и неавтоматизированную обработку персональных данных (на бумажном носителе информации). Совокупность операций обработки включает сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование, уничтожение персональных данных.

Обработка персональных данных осуществляется:

• после получения согласия субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона от 27 июля 2006 года № 152-ФЗ;
• после принятия необходимых мер по защите персональных данных.

7. Права субъектов персональных данных

• Субъект, персональные данные которого обрабатываются Обществом, имеет право получать от Общества информацию, касающуюся обработки его персональных данных. Сведения, предоставляются субъекту персональных данных на основании запроса. Запрос должен содержать сведения предусмотренные законодательством Российской Федерации, подпись субъекта персональных данных или его представителя.
• Требовать от Общества уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
• Отозвать свое согласие на обработку персональных данных в любой момент.
• Требовать устранения неправомерных действий Общества в отношении его персональных данных.
• На защиту своих прав и законных интересов, в том числе на возмещения убытков и/или компенсацию морального вреда в судебном порядке.
• Субъект персональных данных вправе осуществлять иные права, предусмотренные законодательством Российской Федерации.
• Субъект персональных данных (пользователь сайта Общества) выражает свое безусловное Согласие (отказ от обработки) на обработку персональных данных путем согласия с Офертой, размещенной на сайте Общества, или самостоятельного указания своих персональных данных в соответствующей форме в разделе сайта Общества «Личный кабинет».

8. Обязанности Общества

• Предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
• Разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные, если предоставление персональных данных является обязательным в соответствии с федеральным законом.
• Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
• Прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных, в случае выявления неправомерной обработки персональных данных, осуществляемой Обществом или лицом, действующим на основании договора с Обществом.
• Прекратить обработку персональных данных или обеспечить ее прекращение и уничтожить персональные данные или обеспечить их уничтожение в случае отзыва субъектом персональных данных согласия на обработку персональных данных, если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных.
• Ответственность сотрудников Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с действующим законодательством Российской Федерации в области персональных данных и локальными актами Общества

9. Меры по обеспечению безопасности персональных данных при их обработке

При обработке персональных данных, принимаются все, необходимые правовые, организационные и технические меры, соблюдены условия, исключающие несанкционированный доступ к материальным носителям персональных данных и обеспечивающих их сохранность от неправомерного или случайного уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них.

Обеспечение безопасности персональных данных достигается следующими способами:

• назначено ответственное лицо за организацию обработки персональных данных;
• создан внутренний документ, регламентирующий вопросы обработки и обеспечения безопасности персональных данных (настоящая Политика), направленный на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
• ведется учет лиц, допущенных к работе с персональных данных;
• применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных с учетом уровня их защищенности;
• работники, непосредственно осуществляющие обработку персональных данных, ознакомлены с требованиями законодательства Российской Федерации о персональных данных, документами определяющими политику в отношении обработки персональных данных, локальными актами в отношении обработки персональных данных и подписали обязательство о неразглашении информации, содержащей персональные данные;
• осуществляется физическая охрана помещений и определен порядок доступа к ним;
• реализуется ограничение доступа в помещения где размещены технические средства, предназначенные для обработки персональных данных и хранятся носители персональных данных, к информационным ресурсам, программным средствам обработки и защиты информации;
• осуществляется резервное копирование;
• осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ “О персональных данных”;
• для защиты персональных данных при их обработке используются сертифицированные средства защиты;
• устанавливаются правила доступа к персональным данным, обрабатываемым в Обществе,
• осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности персональных данных.