Соглашение на обработку персональных данных

Политика в отношении обработки и защиты персональных данных

ООО МЦ «СКМ-МЕБЕЛЬ» (ИНН 6678137370)

1. Назначение

1.1. Настоящая Политика в отношении обработки и защиты персональных данных (далее — Политика) в Обществе с ограниченной ответственностью Мастер-Центр «СКМ-МЕБЕЛЬ», ИНН 6678137370 (далее — Оператор, ООО МЦ «СКМ-МЕБЕЛЬ») разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее — Закон № 152-ФЗ) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика действует в отношении всех персональных данных, которые обрабатывает ООО МЦ «СКМ-МЕБЕЛЬ».

1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у ООО МЦ «СКМ-МЕБЕЛЬ» как до, так и после утверждения настоящей Политики.

1.4. Во исполнение требований ч. 2 ст. 18.1 Закона № 152-ФЗ Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике.

1.5. Настоящая Политика опубликована на основном и дополнительном сайтах ООО МЦ «СКМ-МЕБЕЛЬ» в информационно-телекоммуникационной̆ сети Интернет: https://www.skm-mebel.ru/ и https://chelyabinsk-salon.skm-mebel.ru/ соответственно (далее совместно — «Сайты») и к ней обеспечен неограниченный доступ.

2. Определения

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Оператор (Оператор персональных данных) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. По тексту настоящей политики термин «Оператор» означает ООО МЦ «СКМ-МЕБЕЛЬ» (ИНН 6678137370).

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

3. Перечень условных обозначений и сокращений

ИСПДн - информационные системы персональных данных;

ПДн - персональные данные;

СЗПДн - система защиты персональных данных, обрабатываемых в информационных системах персональных данных;

СЗИ - средство защиты информации.

4. Права и обязанности Оператора

4.1. Оператор имеет право:

- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о ПДн или другими федеральными законами;

- поручать обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Законом № 152-ФЗ;

- в случае отзыва субъектом ПДн согласия на обработку ПДн Оператор вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в Законе № 152-ФЗ.

4.2. Оператор обязан:

- организовывать обработку ПДн в соответствии с требованиями Закона № 152-ФЗ;

- отвечать на обращения и запросы субъектов ПДн и их законных представителей в соответствии с требованиями Закона № 152-ФЗ;

- сообщать в уполномоченный орган по защите прав субъектов ПДн (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор) по запросу этого органа необходимую информацию в течение 10 дней с даты получения такого запроса.

4.3. Основные права субъекта ПДн. Субъект ПДн имеет право:

- получать информацию, касающуюся обработки его ПДн, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту ПДн Оператором в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких ПДн. Перечень информации и порядок ее получения установлен Законом № 152-ФЗ;

- требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

- выдвигать условие предварительного согласия при обработке ПДн в целях продвижения на рынке товаров, работ и услуг;

- обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его ПДн.

4.4. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки ПДн у Оператора.

4.5. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов ООО МЦ «СКМ-МЕБЕЛЬ» в сфере обработки и защиты ПДн определяется в соответствии с законодательством Российской Федерации.

5. Построение системы защиты персональных данных

5.1. Обработка ПДн, в ООО МЦ «СКМ-МЕБЕЛЬ», осуществляется в соответствии с требованиями Закона № 152-ФЗ.

5.2. Защита ПДн, обрабатываемых без использования средств автоматизации, строиться на основании требований Постановления Правительства РФ от 15 сентября 2008г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

5.3. Система защиты ПДн, обрабатываемых в информационных системах персональных данных ООО МЦ «СКМ-МЕБЕЛЬ» (далее СЗПДн), строится на основании требований нормативных правовых актов, принятых в соответствии с Законом № 152-ФЗ, Постановлением Правительства РФ от 1 ноября 2012г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», а также:

- Актов определения уровня защищенности ПДн при их обработке в ИСПДн ООО МЦ «СКМ-МЕБЕЛЬ»;

- Моделей угроз безопасности ПДн при их обработке в ИСПДн.

5.4. Определение уровня защищенности ПДн при их обработке в ИСПДн осуществляется в соответствии с порядком, установленным Постановлением Правительства РФ от 1 ноября 2012г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

5.5. СЗПДн включает в себя следующие подсистемы:

- Подсистема идентификации и аутентификации субъектов доступа и объектов доступа;

- Подсистема управления доступом субъектов доступа к объектам доступа;

- Подсистема защиты машинных носителей ПДн;

- Подсистема регистрации событий безопасности;

- Подсистема антивирусной защиты;

- Подсистема контроля (анализа) защищенности ПДн;

- Подсистема защиты среды виртуализации;

- Подсистема защиты технических средств;

- Подсистема защиты ИСПДн, ее средств, систем связи и передачи данных.

5.6. Состав требований, реализуемых каждой из подсистем СЗПДн, зависит от:

- Уровня защищенности ПДн при их обработке в ИСПДн;

- Структурно-функциональных характеристик и особенностей функционирования ИСПДн;

- Состава актуальных угроз безопасности ПДн при их обработке в ИСПДн.

6. Цели обработки персональных данных. Объемы и категории обрабатываемых персональных данных. Правовые основания обработки персональных данных

6.1. Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. В ООО МЦ «СКМ-МЕБЕЛЬ» не допускается обработка ПДн, несовместимых с целями сбора ПДн.

6.2. Обработка Оператором ПДн осуществляется в рамках фактически осуществляемой Оператором деятельности (в т.ч. деятельности, которая предусмотрена учредительными документами Оператора) и конкретных бизнес-процессов Оператора в конкретных ИСПДн (по структурным подразделениям Оператора и их процедурам в отношении определенных категорий субъектов ПДн).

6.3. Обработка Оператором ПДн осуществляется в следующих целях:

6.3.1. Цель обработки ПДн

Для применения и исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ними отношений, в т.ч., но неисключительно, для:

- содействия в трудоустройстве и подборе персонала;

- ведения кадрового и бухгалтерского учета Оператора;

- содействия работникам в получении образования и продвижении по службе;

- предоставления работникам установленных законодательством условий труда, гарантий и компенсаций;

- обеспечения личной безопасности работников и сохранности имущества;

- исполнения трудового договора;

- осуществления контроля за качеством и количеством выполняемой работы;

- начисления и выплаты заработной платы, иных выплат;

- исчисления и уплаты предусмотренных законодательством РФ налогов, сборов и страховых взносов;

- получения работниками налоговых вычетов;

- представления Оператором установленной законодательством отчетности в отношении физических лиц;

- организации хранения, комплектования, учета и использования документов в соответствии с действующим законодательством об архивном деле.

Категория субъектов ПДн: кандидаты для приема на работу к Оператору, работники Оператора, бывшие работники Оператора, члены семей работников (в случаях, когда в соответствии с действующим законодательством, сведения о них предоставляются работником), иные лица, ПДн которых Оператор обязан обрабатывать в соответствии с трудовым законодательством и иными актами, содержащими нормы трудового права.

Объем ПДн: фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии), дата и место их изменения (в случае изменения); пол; сведения о гражданстве; дата и место рождения, возраст; реквизиты документа, удостоверяющего личность и содержащиеся в нем сведения; фотографическое изображение (небиометрическое); адрес и дата регистрации по месту жительства (месту пребывания) и адрес фактического проживания; контактная информация (номер телефона (домашний, мобильный), адрес электронной почты, сведения о других способах связи); сведения о семейном положении, составе семьи (степень родства, фамилии, имена, отчества (при наличии), даты (число, месяц, год) и места рождения), реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения; сведения об отношении к воинской обязанности, о воинском учете и реквизиты документов воинского учета; ИНН; СНИЛС; сведения о доходах; сведения обязательствах по исполнительным документам; банковские реквизиты; состояние здоровья (исключительно в отношении возможности выполнения работником трудовой функции); сведения об образовании и (или) квалификации или наличии специальных знаний (в том числе наименование образовательной и (или) иной организации, год окончания, уровень образования, квалификация, реквизиты документа об образовании, обучении); информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности у Оператора; сведения о трудовой деятельности, а также информация о предыдущих местах работы, периодах, доходах и стаже работы; сведения о деловых и иных личных качествах, носящих оценочный характер; информация о владении иностранными языками; иные ПДн, имеющие значение для исполнения работником своих обязанностей по занимаемой должности; иные ПДн, дополнительно указанные субъектом ПДн о себе в анкете соискателя вакансий, резюме или ином документе; копии документов, содержащих вышеуказанные сведения.

Правовые основания обработки ПДн: ТК РФ, Налоговый кодекс РФ (НК РФ), Федеральный закон от 01.04.1996 года № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральный закон от 06.12.2011 года № 402-ФЗ «О бухгалтерском учете», Федеральный закон от 02.10.2007 года № 229-ФЗ «Об исполнительном производстве», Федеральный закон от 25.07.2002 года № 115-ФЗ «О правовом положении иностранных граждан в Российской Федерации», Федеральный закон от 22.10.2004 года № 125-ФЗ «Об архивном деле в Российской Федерации», иные нормативно-правовые акты, трудовые договоры, согласия субъектов ПДн на обработку их ПДн.

6.3.2. Цель обработки ПДн

Для предоставления субъекту ПДн возможности использования функционала сайта https://www.skm-mebel.ru/, включая следующий функционал: регистрация и использование личного кабинета на сайте, использование форм для обратной связи, размещенных на сайте, оформление заказов (в том числе оплата и доставка заказов) через сайт, отслеживание статуса заказа, написание отзывов о товарах и / или услугах, возврат товаров или денежных средств, направление обращений по вопросам работы сайта.

Категория субъектов ПДн: посетители сайта.

Объем ПДн: фамилия, имя, отчество; номер телефона; адрес электронной почты; адрес доставки заказа; данные способов оплаты; IP адрес; информация из cookies; информация о браузере (или иной программе, которая осуществляет доступ к показу рекламы); время доступа; адрес страницы, на которой расположен рекламный блок; реферер (адрес предыдущей страницы); иные ПДн, предоставляемые посетителями сайта, необходимые для использования функционала сайта в соответствии с требованиями действующего законодательства.

Правовые основания обработки ПДн: ГК РФ, Политика в отношении обработки и защиты персональных данных в ООО МЦ «СКМ-МЕБЕЛЬ», иные нормативно-правовые акты, согласия субъектов ПДн на обработку их ПДн (простановка в форме для электронного обращения флажка об ознакомлении с условиями Политики и согласии на обработку ПДн).

6.3.2.1. Цель обработки ПДн

Для предоставления субъекту ПДн возможности использования функционала сайта https://chelyabinsk-salon.skm-mebel.ru/, включая следующий функционал: использование форм для обратной связи, размещенных на сайте, написание отзывов о товарах и / или услугах, направление обращений по вопросам работы сайта.

Категория субъектов ПДн: посетители сайта.

Объем ПДн: фамилия, имя, отчество; номер телефона; IP адрес; информация из cookies; информация о браузере (или иной программе, которая осуществляет доступ к показу рекламы); время доступа; адрес страницы, на которой расположен рекламный блок; реферер (адрес предыдущей страницы); иные ПДн, предоставляемые посетителями сайта, необходимые для использования функционала сайта в соответствии с требованиями действующего законодательства.

Правовые основания обработки ПДн: ГК РФ, Политика в отношении обработки и защиты персональных данных в ООО МЦ «СКМ-МЕБЕЛЬ», иные нормативно-правовые акты, согласия субъектов ПДн на обработку их ПДн (простановка в форме для электронного обращения флажка об ознакомлении с условиями Политики и согласии на обработку ПДн).

6.3.3. Цель обработки ПДн

Для заключения, исполнения и прекращения Оператором гражданско-правовых договоров с клиентами-физическими лицами.

Категория субъектов ПДн: клиенты Оператора — физические лица (физические лица, намеревающиеся заключить или заключившие с Оператором гражданско-правовые договоры на стороне заказчика), представители клиентов Оператора — физических лиц.

Объем ПДн: фамилия, имя, отчество; номер телефона; адрес электронной почты; адрес доставки заказа; данные способов оплаты; иные ПДн, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует настоящей цели; иные ПДн, которые субъект ПДн пожелал сообщить о себе и обработка которых соответствует настоящей цели; копии документов, содержащих вышеуказанные сведения.

Правовые основания обработки ПДн: ГК РФ, НК РФ, Закон РФ от 07.02.1992 N 2300-1 «О защите прав потребителей», Закон о бухучете, Закон об архивном деле, иные нормативно-правовые акты, гражданско-правовые договоры, согласия субъектов ПДн на обработку их ПДн.

6.3.4. Цель обработки ПДн

Для заключения, исполнения и прекращения Оператором гражданско-правовых договоров, связанных с осуществлением административно-хозяйственной деятельности Оператора, в т.ч. для проявления должной осмотрительности при выборе контрагентов.

Категория субъектов ПДн: представители контрагентов Оператора — физические лица и контрагенты Оператора — физические лица (не являющиеся клиентами), заключившие или намеревающиеся заключить с Оператором договоры, связанные с осуществлением административно-хозяйственной деятельности Оператора.

Объем ПДн: фамилия, имя, отчество; должность и место работы (для представителей контрагентов); номер телефона; адрес электронной почты; банковские реквизиты (для контрагентов-физических лиц); ИНН (для контрагентов-физических лиц); СНИЛС (для контрагентов-физических лиц); ОГРНИП (для индивидуальных предпринимателей); сведения о наличии статуса самозанятого (для контрагентов-физических лиц); иные ПДн, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует настоящей цели; иные ПДн, которые субъект ПДн пожелал сообщить о себе и обработка которых соответствует настоящей цели; копии документов, содержащих вышеуказанные сведения.

Правовые основания обработки ПДн: ГК РФ, НК РФ, Закон о бухучете, Закон об архивном деле, иные нормативно-правовые акты, гражданско-правовые договоры, согласия субъектов ПДн на обработку их ПДн.

6.3.5. Цель обработки ПДн

Для осуществления участниками Оператора своих корпоративных прав и обязанностей, в том числе, но не исключительно, для: ведения списка участников Оператора; проведения общих собраний участников Оператора; выплаты дивидендов участникам Оператора.

Категория субъектов ПДн: участники Оператора — физические лица.

Объем ПДн: фамилия, имя, отчество; пол; сведения о гражданстве; дата (число, месяц, год) и место рождения; реквизиты документа, удостоверяющего личность; адрес и дата регистрации по месту жительства (месту пребывания) и адрес фактического проживания; контактный номер телефона, адрес электронной почты; ИНН; СНИЛС; банковские реквизиты; доля участия в уставном капитале Оператора; сведения об участии в уставном капитале и (или) органах управления других организаций; иные ПДн, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует настоящей цели; иные ПДн, которые субъект ПДн пожелал сообщить о себе и обработка которых соответствует настоящей цели; копии документов, содержащих вышеуказанные сведения.

Правовые основания обработки ПДн: ГК РФ, НК РФ, Федеральный закон «Об обществах с ограниченной ответственностью», Федеральный закон от 26.07.2006 года № 135-ФЗ «О защите конкуренции», иные нормативно-правовые акты, устав Оператора.

6.3.6. Цель обработки ПДн

Для исполнения требований законодательства по учету Оператором своих аффилированных лиц и хранению их списков.

Категория субъектов ПДн: аффилированные лица Оператора — физические лица.

Объем ПДн: фамилия, имя, отчество; ИНН; основание аффилированности с Оператором и дата его наступления; иные ПДн, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует настоящей цели; иные ПДн, которые субъект ПДн пожелал сообщить о себе и обработка которых соответствует настоящей цели; копии документов, содержащих вышеуказанные сведения.

Правовые основания обработки ПДн: ГК РФ, Закон об ООО, Закон РСФСР от 22.03.1991 года № 948-1 «О конкуренции и ограничении монополистической деятельности на товарных рынках», Положение по бухгалтерскому учету «Бухгалтерская отчетность организации» (ПБУ 4/99)», иные нормативно-правовые акты, устав Оператора.

6.3.7. Цель обработки ПДн

Для исполнения требований законодательства по установлению Оператором своих бенефициарных владельцев.

Категория субъектов ПДн: бенефициарные владельцы Оператора.

Объем ПДн: фамилия, имя, отчество; дата и место рождения; сведения о гражданстве; реквизиты документа, удостоверяющего личность; адрес регистрации по месту жительства и адрес фактического проживания; доля участия в уставном капитале Оператора (при прямом владении) и других организаций (при косвенном владении); наличие статуса публичного должностного лица; СНИЛС; ИНН; номер контактного телефона, адрес электронной почты; иные ПДн, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует настоящей цели; иные ПДн, которые субъект ПДн пожелал сообщить о себе и обработка которых соответствует настоящей цели; копии документов, содержащих вышеуказанные сведения.

Правовые основания обработки ПДн: Федеральный закон от 07.08.2001 года № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», Положение по бухгалтерскому учету «Информация о связанных сторонах» (ПБУ 11/2008), иные нормативно-правовые акты.

6.3.8. Цель обработки ПДн

Для исполнения требований действующего законодательства Российской Федерации.

Категория субъектов ПДн: иные физические лица, ПДн которых обрабатываются Оператором исключительно в случаях, предусмотренных действующим законодательством, с соблюдением принципов и условий, предусмотренных Законом о ПДн.

Объем ПДн: Оператор обрабатывает ПДн исключительно в объеме, необходимом для исполнения требований действующего законодательства.

Правовые основания обработки ПДн: Конституция Российской Федерации, федеральные законы и иные нормативно-правовые акты Российской Федерации.

6.4. Биометрические персональные данные Оператором не обрабатываются.

6.5. Использование метрической программы «Яндекс.Метрика»

6.5.1. Оператор осуществляет обработку ПДн пользователей Сайтов с «Яндекс.Метрика» в отношении всех пользователей Сайтов, предоставивших согласие на обработку ПДн через интерфейс Сайтов.

6.5.2. «Яндекс.Метрика» применяется для сбора и анализа информации о действиях пользователей на Сайтах с целью: анализа посещаемости и пользовательского поведения; улучшения функциональности и содержания Сайтов; повышения удобства использования Сайтов; анализа эффективности рекламных кампаний (при их проведении).

6.5.3. В рамках использования «Яндекс.Метрика» Оператор может обрабатывать следующие категории ПДн, включая данные файлов cookie (обязательные и аналитические): IP-адрес; тип и версия операционной системы; тип и версия браузера; тип устройства и разрешение экрана; источник перехода на Сайты; язык операционной системы (ОС) и браузера; сведения о посещенных страницах, взаимодействие с элементами Сайтов, время доступа и адреса запрашиваемых страниц; географическое местоположение (на уровне региона).

6.5.4. Оператор осуществляет следующие действия с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, передача (доступ, предоставление), блокирование, удаление, уничтожение.

6.5.5. Обработка данных осуществляется как с использованием средств автоматизации («Яндекс.Метрика»), так и без их использования (например, анализ логов сервера).

6.5.6. Оператор передает данные, обрабатываемые с использованием «Яндекс.Метрика» в ООО «Яндекс» (ОГРН 1027700229193, адрес: 119021, г. Москва, ул. Льва Толстого, д. 16) для обработки в рамках сервиса «Яндекс.Метрика» в соответствии с соглашением об использовании сервиса (https://yandex.ru/legal/metrica_termsofuse/), в объеме, необходимом для достижения указанных целей обработки. Данные, обрабатываемые через «Яндекс.Метрика», хранятся на серверах ООО «Яндекс» в Российской Федерации в соответствии с требованиями Закона № 152-ФЗ. С более подробной информацией об условиях использования «Яндекс.Метрика» можно ознакомиться на официальном сайте: https://yandex.ru/support/metrica/ru.

6.5.7. Дополнительная информация об условиях использования сервисов: файлы cookie представляют собой небольшие фрагменты данных, которые сохраняются на устройстве пользователя и используются для корректной работы Сайтов и сбора аналитической информации; правовым основанием обработки ПДн является согласие субъекта ПДн (в соответствии с п. 1 ч. 1 ст. 6 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»), выражаемое путем нажатия кнопки «Принять» в уведомлении (cookie-баннере), размещенном на Сайтах. До момента получения согласия пользователя использование метрических программ и установка файлов cookie, не являющихся необходимыми для функционирования Сайтов, не осуществляется. Пользователь вправе отказаться от обработки ПДн посредством метрических программ путем выбора соответствующих настроек в cookie-баннере нажав «Отклонить»; в рамках использования указанных метрических программ трансграничная передача ПДн не осуществляется.

7. Порядок и условия обработки персональных данных. Сроки обработки и хранения персональных данных

7.1. Обработка ПДн осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.

7.2. Обработка ПДн осуществляется с согласия субъектов ПДн на обработку их ПДн, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

7.3. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку ПДн.

7.4. Оператор вправе осуществлять передачу ПДн третьим лицам в соответствии с требованиями действующего законодательства.

7.4.1. Оператор вправе передавать ПДн органам дознания и следствия, Федеральную налоговую службу, Социальный фонд России и иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

7.4.2. Оператор вправе передавать ПДн третьим лицам, с которыми он сотрудничает, когда такая передача ПДн необходима для заключения и исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.

7.4.3. Оператор вправе поручить обработку ПДн третьим лицам с согласия субъекта ПДн в письменной форме, если иное не предусмотрено законодательством РФ, на основании заключаемого с этими лицами договора. К таким лицам, в частности, относятся поставщики услуг — организации, оказывающие Оператору услуги в области информационных технологий, ведения бухгалтерского учета и кадрового делопроизводства, правового сопровождения хозяйственной деятельности Оператора и т.п. (далее — «поставщики услуг»).

7.4.4. Лица, осуществляющие обработку ПДн по поручению Оператора, обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные Законом № 152-ФЗ. В поручении Оператора определяются: перечень действий (операций) с ПДн, которые будут совершаться лицами, осуществляющими обработку ПДн, и цели обработки; устанавливается обязанность таких лиц соблюдать режим конфиденциальности по отношению к ПДн; устанавливается обязанность обеспечить защиту обрабатываемых ПДн.

7.4.5. При оказании Оператору со стороны третьих лиц услуг, предусматривающих обработку ПДн, в соответствии с требованиями заключенных с данными третьими лицами гражданско-правовых договоров (соглашений), доступ к указанным ПДн осуществляется Оператором при соблюдении следующих условий: произведена юридическая экспертиза гражданско-правового договора (соглашения) на предмет правомерности передачи такой информации третьим лицам; гражданско-правовой договор (соглашение) содержит положения о неразглашении информации ограниченного доступа и соблюдения режима конфиденциальности и защиты передаваемых Оператором ПДн; Оператором получено согласие субъекта ПДн на передачу его ПДн третьим лицам в письменной форме.

7.4.6. При передаче ПДн третьим лицам Оператором соблюдаются следующие требования: Оператор не вправе сообщать третьей стороне ПДн без согласия субъекта ПДн в письменной форме, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных действующим законодательством; Оператор не вправе сообщать ПДн в коммерческих целях без согласия субъекта ПДн в письменной форме; Оператор обязан предупредить лиц, получающих ПДн, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПДн, обязаны соблюдать по отношению к этим данным режим конфиденциальности. Данное положение не распространяется на обмен ПДн в порядке, установленном ТК РФ и иными федеральными законами.

7.4.7. Ответственность за соблюдение процедуры передачи ПДн третьим лицам несет работник Оператора, уполномоченный на осуществление подобных действий либо в силу должностных обязанностей, закрепленных в должностной инструкции, либо в силу организационно-распорядительного документа — приказа (распоряжения). Контроль соблюдения процедуры оформления осуществляет непосредственный руководитель данного работника Оператора.

7.4.8. В тех случаях, когда передача ПДн третьим лицам предусмотрена в силу заключенного гражданско-правового договора (одной стороной которого является Оператор), ответственность за соблюдение процедуры передачи ПДн третьим лицам несет работник Оператора, ответственный за заключение этого договора. Контроль соблюдения процедуры оформления осуществляет непосредственный руководитель данного работника.

7.4.9. При прекращении гражданско-правового договора с поставщиком услуг последний в течение 30 (тридцати) дней передает Оператору по акту приема-передачи материальные носители (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведения в информационных системах, содержащие ПДн, обработка которых производилась в рамках данного договора, если иной срок не предусмотрен этим договором или действующим законодательством. Поставщик услуг также предоставляет Оператору документальное подтверждение факта уничтожения документов, содержащих ПДн, обработка которых производилась в рамках данного договора с Оператором, в случаях, когда на поставщика услуг не распространяется обязанность по хранению документов, содержащих такие ПДн, в соответствии с законодательством об архивном деле.

7.5. Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн.

7.6. К обработке ПДн допускаются работники Оператора, в должностные обязанности которых входит обработка ПДн.

7.7. Обработка ПДн осуществляется путем: получения ПДн в устной и письменной форме непосредственно от субъектов персональных данных; получения ПДн из общедоступных источников; внесения ПДн в журналы, реестры и информационные системы Оператора; использования иных законных способов обработки ПДн.

7.8. Оператор принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе: определяет угрозы безопасности ПДн при их обработке; принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты ПДн; назначает лиц, ответственных за обеспечение безопасности ПДн в структурных подразделениях и информационных системах Оператора; создает необходимые условия для работы с ПДн; организует учет документов, содержащих ПДн; организует работу с информационными системами, в которых обрабатываются ПДн; хранит ПДн в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним; организует обучение работников Оператора, осуществляющих обработку ПДн.

7.9. Оператор осуществляет хранение ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором.

7.10. При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан (в т.ч. Российской Федерации) с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе № 152-ФЗ.

7.11. Обработка ПДн прекращается Оператором в следующих случаях:

7.11.1. при достижении целей их обработки (за некоторыми исключениями);

7.11.2. по истечении срока действия согласия на обработку его ПДн (за некоторыми исключениями), если в соответствии с Законом № 152-ФЗ их обработка допускается только с согласия;

7.11.3. при отзыве субъектом ПДн согласия на обработку его ПДн (за некоторыми исключениями), если в соответствии с Законом № 152-ФЗ их обработка допускается только с согласия;

7.11.4. при выявлении факта неправомерной обработки ПДн. Срок прекращения обработки — в течение 3 (трех) рабочих дней с даты выявления такого факта;

7.11.5. при обращении субъекта ПДн к Оператору с требованием о прекращении обработки ПДн (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона № 152-ФЗ). Срок прекращения обработки — не более 10 (десяти) рабочих дней с даты получения требования (с возможностью продления не более чем на 5 (пять) рабочих дней, если направлено уведомление о причинах продления).

7.12. ПДн хранятся в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки. Исключение — случаи, когда срок хранения ПДн установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект ПДн.

7.13. ПДн на бумажных носителях хранятся Оператором в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Закон об архивном деле, Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).

7.14. Срок хранения ПДн, обрабатываемых в ИСПДн, соответствует сроку хранения ПДн на бумажных носителях.

8. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов персональных данных

8.1. Подтверждение факта обработки ПДн Оператором, правовые основания и цели обработки ПДн, а также иные сведения, указанные в ч. 7 ст. 14 Закона № 152-ФЗ, предоставляются Оператором субъекту ПДн или его представителю при обращении либо при получении запроса субъекта ПДн или его представителя. В предоставляемые сведения не включаются ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких ПДн. Запрос должен содержать: номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе; сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором; подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Если в обращении (запросе) субъекта ПДн не отражены в соответствии с требованиями Закона № 152-ФЗ все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с ч. 8 ст. 14 Закона № 152-ФЗ, в том числе если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.

8.2. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование ПДн, относящихся к этому субъекту ПДн, с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц. В случае подтверждения факта неточности ПДн Оператор на основании сведений, представленных субъектом ПДн или его представителем либо Роскомнадзором, или иных необходимых документов уточняет ПДн в течение семи рабочих дней со дня представления таких сведений и снимает блокирование ПДн.

8.3. В случае выявления неправомерной обработки ПДн при обращении (запросе) субъекта ПДн или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, с момента такого обращения или получения запроса.

8.4. При достижении целей обработки ПДн, а также в случае отзыва субъектом ПДн согласия на их обработку ПДн подлежат уничтожению, если: иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн; Оператор не вправе осуществлять обработку без согласия субъекта ПДн на основаниях, предусмотренных Законом № 152-ФЗ или иными федеральными законами; иное не предусмотрено иным соглашением между Оператором и субъектом ПДн.

8.5. Незаконно полученные ПДн или те, которые не являются необходимыми для цели обработки, уничтожаются в течение 7 (семи) рабочих дней со дня представления субъектом ПДн (его представителем) подтверждающих сведений.

8.6. ПДн, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 (десяти) рабочих дней с даты выявления неправомерной обработки.

8.7. ПДн уничтожаются в течение 30 (тридцати) дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект ПДн, иным соглашением между ним и Оператором либо если Оператор не вправе обрабатывать ПДн без согласия субъекта ПД на основаниях, предусмотренных федеральными законами.

8.8. При достижении максимальных сроков хранения документов, содержащих ПДн, ПДн уничтожаются в течение 30 (тридцати) дней.

8.9. ПДн уничтожаются (если их сохранение не требуется для целей обработки ПД) в течение 30 (тридцати) дней с даты поступления отзыва субъектом ПДн согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект ПДн, иное соглашение между ним и Оператором. Кроме того, ПДн уничтожаются в указанный срок, если Оператор не вправе обрабатывать их без согласия субъекта ПДн на основаниях, предусмотренных федеральными законами.

8.10. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в ИСПДн, которые подлежат уничтожению, осуществляют подразделения Оператора, обрабатывающие ПДн.

8.11. Уничтожение ПДн осуществляет комиссия, назначенная приказом директора Оператора.

8.11.1. Комиссия проводит ежеквартальный мониторинг документов, иных материальных носителей и (или) сведений в ИСПДн, которые подлежат уничтожению.

8.11.2. ПДн на бумажных носителях уничтожаются с использованием шредера. ПДн на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить ПДн, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.

8.11.3. Сведения о плановом уничтожении ПДн в случаях, предусмотренных подп. 7.11.1-7.11.2 настоящей Политики, отражаются комиссией в акте об их уничтожении ежеквартально.

8.11.4. Сведения о внеплановом уничтожении ПДн в случаях, предусмотренных подп. 7.11.3-7.11.5 настоящей Политики, отражаются комиссией в акте об их уничтожении непосредственно после уничтожения ПДн.

9. Контроль за соблюдением законодательства и локальных нормативных актов Оператора в области персональных данных, в том числе требований к защите персональных данных

9.1. Выделяются следующие группы лиц, участвующих в обработке и защите ПДн: ответственный за организацию обработки ПДн; администратор; администратор информационной безопасности; пользователи ИСПДн.

9.2. Ответственный за организацию обработки ПДн

9.2.1. Ответственный за организацию обработки ПДн — работник ООО МЦ «СКМ-МЕБЕЛЬ», обеспечивает: подготовку локальных актов ООО МЦ «СКМ-МЕБЕЛЬ» по вопросам обработки и защиты ПДн; осуществление внутреннего контроля за соблюдением ООО МЦ «СКМ-МЕБЕЛЬ» и его работниками законодательства Российской Федерации, локальных актов по вопросам обработки и защиты ПДн; проведение инструктажа работников в целях доведения до данных работников положений законодательства Российской Федерации, локальных актов по вопросам обработки и защиты ПДн; организацию приема и обработки запросов (обращений, заявлений) субъектов ПДн или их представителей.

9.2.2. Ответственный за организацию обработки ПДн несет ответственность за некачественное, неполное, несвоевременное исполнение или неисполнение своих обязанностей, предусмотренных «Инструкцией ответственного за организацию обработки ПДн» или соответствующим договором со специализированной организацией.

9.3. Администратор

9.3.1. Администратор — работник ООО ООО МЦ «СКМ-МЕБЕЛЬ», ответственный за установку, настройку и сопровождение программных, программно-аппаратных, аппаратных средств ИСПДн.

9.3.2. Администратор несет ответственность за некачественное, неполное, несвоевременное исполнение или неисполнение своих обязанностей, предусмотренных «Инструкцией администратора ИСПДн».

9.4. Администратор информационной безопасности

9.4.1. Администратор информационной безопасности — работник ООО МЦ «СКМ-МЕБЕЛЬ», назначенный ответственным за обеспечение безопасности персональных данных в информационной системе.

9.4.2. Администратор информационной безопасности — работник ООО МЦ «СКМ-МЕБЕЛЬ», ответственный за обеспечение устойчивой работоспособности и безопасности ИСПДн, установку, настройку и сопровождение СЗИ.

9.4.3. Администратор информационной безопасности несет ответственность за некачественное, неполное, несвоевременное исполнение или неисполнение своих обязанностей, предусмотренных «Инструкцией администратора информационной безопасности».

9.5. Пользователь ИСПДн

9.5.1. Пользователь ИСПДн — работник ООО МЦ «СКМ-МЕБЕЛЬ», осуществляющий обработку ПДн в ИСПДн.

9.5.2. Пользователь ИСПДн несет ответственность за некачественное, неполное, несвоевременное исполнение или неисполнение своих обязанностей, предусмотренных «Инструкцией пользователя ИСПДн».