1. Общие положения
1.1. Настоящее Положение «О Политике ООО «МЕКО» в отношении обработки персональных данных» (далее – Положение) разработано и применяется в Обществе с ограниченной ответственностью «МЕКО» (далее – Оператор) в соответствии с пп. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту – «Закон о персональных данных»).
1.2. Настоящее Положение
1.3. Основные термины, используемые в Положении:
Субъект персональных данных – прямо или косвенно определенное или определяемое физическое лицо, передавшее свои персональные данные для обработки Оператору.
Персональные данные Субъекта персональных данных – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.
Оператор персональных данных – ООО «МЕКО», самостоятельно или совместно с другими лицами организующее обработку персональных данных, а также определяющее цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий
(операций), совершаемых с использованием средств автоматизации или без использования таких
средств с персональными данными, включая сбор, запись, систематизацию, накопление,
хранение, уточнение (обновление, изменение), извлечение, использование, передачу
(распространение, предоставление, доступ), обезличивание, блокирование, удаление,
уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с
помощью средств вычислительной техники.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Персональные данные, сделанные общедоступными субъектом персональных данных, – персональные данные, доступ неограниченного круга лиц к которым предоставлен самим Субъектом персональных данных либо по его просьбе.
Блокирование персональных данных – временное прекращение обработки персональных данных
(за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным
восстановить содержание персональных данных в информационной системе персональных
данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу
1.4. Действие настоящего Положения не распространяется на отношения:
1.5. Субъекты персональных данных имеют право:
1.6. Обеспечение неограниченного доступа к настоящему Положению осуществляется посредством его размещения на электронном сайте Оператора: www.ladycollection.com.
1.7. Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
2. Цели сбора персональных данных
2.1. Оператор осуществляет обработку персональных данных Субъектов персональных данных в следующих целях:
3. Правовые основания обработки персональных данных
3.1. Обработка персональных данных Оператором осуществляется в соответствии с:
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4.1. Оператор осуществляет обработку следующих общих персональных данных:
4.2. Оператором обрабатываются персональные данные следующих категорий субъектов:
4.3. При получении персональных данных, не указанных в настоящем пункте, такие данные подлежат немедленному уничтожению лицом, получившим их.
5. Порядок и условия обработки персональных данных
5.1. Принципы обработки персональных данных
5.1.1. При обработке персональных данных Оператор руководствуется следующими принципами:
5.2. Получение персональных данных
5.2.1. Персональные данные субъектов персональных данных получаются Оператором:
5.3. Согласие на обработку персональных данных
5.3.1. Оператор получает и начинает обработку персональных данных Субъекта с момента получения его согласия.
Согласие на обработку персональных данных может быть дано Субъектом персональных данных в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, устной или иной форме, предусмотренной действующим законодательством, в том числе посредством совершения Субъектом персональных данных конклюдентных действий.
5.3.2. В случаях, предусмотренных Федеральным законом «О персональных данных», обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных:
5.3.3. Согласие на обработку персональных данных считается предоставленным Субъектом персональных данных посредством совершения им следующих конклюдентных действий:
В случае отсутствия согласия субъекта персональных данных на обработку его персональных данных, такая обработка не осуществляется, если иное не предусмотрено федеральным законом.
5.4. Отзыв согласия на обработку персональных данных
5.4.1.Субъект персональных данных может в любой момент отозвать свое согласие на обработку персональных данных при условии, что подобная процедура не нарушает требований законодательства РФ. В случае отзыва субъектом персональных данных согласия на обработку персональных данных, Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных только при наличии оснований, указанных в Федеральном законе «О персональных данных».
5.4.2. Порядок отзыва согласия на обработку персональных данных:
5.4.3. В случае отзыва Cубъектом персональных данных согласия на обработку его персональных данных, Оператор должен прекратить их обработку или обеспечить прекращение такой обработки (если обработка осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей их обработки, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (Тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между Оператором и Субъектом персональных данных, либо если Оператор не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.
5.5. Правила обработки персональных данных
5.5.1. Обработку персональных данных осуществляют сотрудники Оператора, уполномоченные на то должностными инструкциями, иными внутренними документами Оператора.
5.5.2. Сотрудники Оператора имеют право получать только те персональные данные, которые необходимы им для выполнения конкретных должностных обязанностей.
5.5.3. Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены до начала работы:
5.5.4. Оператор осуществляет обработку персональных данных Субъекта персональных данных посредством совершения любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, включая следующие:
5.5.5. В случае если Оператор поручает обработку персональных данных третьим лицам, не являющимся его сотрудниками, на основании заключенных договоров (либо иных оснований), в силу которых они должны иметь доступ к персональным данным субъектов. Такие договоры должны содержать:
5.6. Обработку персональных данных осуществляют следующие структурные подразделения (отделы) Оператора:
5.6.1. Указанные в пункте 5.6. настоящего Положения структурные подразделения находятся в непосредственном подчинении Генерального директора Оператора.
5.6.2. Состав, уровень квалификации сотрудников, полномочия, функции, условия допуска сотрудников к персональным данным, порядок взаимодействия с другими структурными подразделениями оператора, ответственность структурных подразделений в рамках отношений по обработке персональных данных установлены локальными актами Оператора.
5.6.3. Руководители указанных в пункте 5.6. настоящего Положения структурных подразделений:
5.7. Завершение обработки персональных данных
5.7.1. Оператор завершает обработку персональных данных, если:
5.8. Хранение персональных данных
5.8.1. Хранение персональных данных осуществляется в соответствии с письменным согласием Субъекта персональных данных и в течение срока, установленного с учетом требований действующего законодательства РФ.
В случае отсутствия в соответствующих нормативно-правовых актах сроков хранения отдельных видов персональных данных, указанные персональные данные подлежат хранению в течение срока, указанного в письменном согласии соответствующего Субъекта персональных данных.
5.8.2. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.8.3. Хранение персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных, должно осуществляться раздельно.
5.8.4. Сотрудник Оператора, имеющий доступ к персональным данным в связи с исполнением трудовых обязанностей обеспечивает хранение информации, содержащей персональные данные Субъектов персональных данных, исключающее доступ к ним третьих лиц.
В отсутствие сотрудника на его рабочем месте не должно находиться документов, содержащих персональных данных. При уходе в отпуск, служебную командировку и иных случаях длительного отсутствия сотрудника на рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные, лицу, на которое локальным актом Оператора будет возложено исполнение его трудовых обязанностей. В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные Субъектов персональных данных, передаются другому сотруднику, имеющему доступ к персональным данным Субъектов персональных данных по указанию руководителя соответствующего структурного подразделения Оператора.
При увольнении сотрудника, имеющего доступ к персональным данным, документы и иные носители, содержащие персональные данные Субъектов персональных данных, передаются другому сотруднику, имеющему доступ к персональным данным Субъектов персональных данных по указанию руководителя структурного подразделения и с уведомлением лица, ответственного за обработку персональных данных.
6. Актуализация, исправление, удаление и уничтожение персональных данных.
Ответы на запросы субъектов на доступ к персональным данным.
6.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
6.2. Сведения должны быть предоставлены Субъекту персональных данных оператором в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
6.3. Сведения предоставляются Субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя.
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
6.4. Оператор вправе отказать Субъекту персональных данных в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.
6.5. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.6. Оператор при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных обязан:
6.7. Оператор в течение 10 (Десяти) дней с момента исправления или уничтожения персональных данных по требованию Субъекта персональных данных или его представителя обязан уведомить его о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого Субъекта были переданы. Уведомление может быть осуществлено Оператором в любой доступной форме, позволяющей подтвердить факт уведомления Субъекта персональных данных (посредством электронной почты, телеграфным сообщением с уведомлением о вручении или почтовым сообщением с уведомлением о вручении, иное). Выбор способа направления уведомления остается за Оператором.
7. Контроль, ответственность за нарушение или неисполнение Положения
7.1. Контроль исполнения сотрудниками Оператора требований законодательства РФ и положений локальных нормативных актов Оператора в сфере персональных данных осуществляет Генеральный директор Оператора.
7.2. Лица, нарушающие или не исполняющие требования Положения, несут дисциплинарную, административную (ст. ст. 5.39, 13.11, 13.14 Кодекса об административных правонарушениях РФ) или уголовную ответственность (ст. ст. 137, 272 Уголовного кодекса РФ).
7.3. Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчиненными.
7.4. Если Субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона “О персональных данных” или иным образом нарушает его права и свободы, Субъект персональных данных вправе обжаловать действия или бездействие оператора в орган, уполномоченный по вопросам защиты прав субъектов персональных данных, или в судебном порядке.
7.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Оценка вреда, который может быть причинен Субъектам персональных данных в случае нарушения Оператором требований Закона об обработке персональных данных, определяется в соответствии со ст. ст. 15, 151, 152, 1101 Гражданского кодекса РФ.
8. Прочие положения
8.1.Настоящее Положение вступает в силу со дня его утверждения единоличным исполнительным органом Оператора.
8.2.Все сотрудники Оператора, допущенные к работе с персональными данными, должны быть ознакомлены с настоящим Положением до начала работы с персональными данными.
8.3.Копия настоящего Положения должна быть передана в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций.