1.1. Политика Aporro в отношении обработки персональных данных (далее – Политика) разработана в соответствии со статьей 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон) и содержит сведения о реализуемых требованиях к обработке и защите персональных данных.
1.2. Политика разработана с учетом рекомендаций по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном федеральным законом от 27 июля 2006 года n 152-ФЗ «О персональных данных», размещенных на официальном сайте Роскомнадзора РФ https://rkn.gov.ru/, в соответствии с требованиями Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, Конституции Российской Федерации, международных договоров Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации в области персональных данных,
1.3. Целью настоящего документа является информирование субъектов персональных данных и лиц, участвующих в обработке персональных данных, о соблюдении в Aporro (далее также Оператор) основополагающих принципов законности, справедливости, неизбыточности, соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки.
1.4. Обеспечение защиты прав и свобод человека при обработке его персональных данных, в том числе защита прав на неприкосновенность частной жизни, личную и семейную тайну, является одной из приоритетных задач Aporro.
1.5. Политика действует в отношении всех персональных данных, обрабатываемых в Aporro и является общедоступным документом.
1.6. Основные понятия, используемые в Рекомендациях:
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.7. Права субъектов персональных данных:
1.7.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных в порядке и в сроки, предусмотренные Федеральным законом.
1.7.2. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные Федеральным законом меры по защите своих прав.
1.7.3. Права субъекта персональных данных на доступ к его персональным данным могут быть ограничены в соответствии с Федеральным законом.
1.7.4. Принятие решений на основании исключительно автоматизированной обработки персональных данных, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, допускается с согласия субъекта в письменной форме.
1.7.5. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
1.7.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
1.8. Обязанности оператора при сборе персональных данных:
1.8.1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе следующую информации, касающейся обработки его персональных данных, в том числе содержащей: 1) подтверждение факта обработки персональных данных оператором; 2) правовые основания и цели обработки персональных данных; 3) цели и применяемые оператором способы обработки персональных данных; 4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона; 5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; 6) сроки обработки персональных данных, в том числе сроки их хранения; 7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом; 8) информацию об осуществленной или о предполагаемой трансграничной передаче данных; 9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; 10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
1.8.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
1.8.3. Если персональные данные получены не от субъекта персональных данных, то оператор, до начала обработки таких персональных данных, обязан предоставить субъекту персональных данных следующую информацию: 1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя; 2) цель обработки персональных данных и ее правовое основание; 3) предполагаемые пользователи персональных данных; 4) установленные настоящим Федеральным законом права субъекта персональных данных; 5) источник получения персональных данных.
1.8.4. Пункт 1.8.3. не распространяется на следующие случаи: 1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором; 2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных; 3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника; 4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных; 5) предоставление субъекту персональных данных сведений, предусмотренных пунктом 1.8.3. нарушает права и законные интересы третьих лиц.
1.8.5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Федеральном законе от 27.07.2006 «О персональных данных».
2. Цели обработки персональных данных
Основная цель обработки персональных данных – розничная торговля непродовольственными товарами. В частности, обработка персональных данных работников для целей исполнения ими трудовых функций и исполнения обязанностей работодателя, возложенных на него трудовым законодательством и обработка персональных данных покупателей для целей реализации договора розничной купли-продажи. Таким образом, обработка персональных данных осуществляется в целях:
2.1. Содействия работникам и кандидатам в трудоустройстве, обучении и продвижении по службе, контроля количества и качества выполняемой работы, соблюдения норм трудового законодательства и иных актов, содержащих нормы трудового права;
2.2. Заключения и исполнения гражданско-правовых договоров, в том числе договоров на оказание услуг;
2.3. Защиты прав и законных интересов Aporro в судах, государственных органах;
2.4. Формирования отчетности или подготовки предусмотренных в законодательстве заявлений, уведомлений и т.д. в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования, Федеральную налоговую службу и другие государственные органы и службы;
2.5. Обеспечения пропускного и внутриобъектового режимов;
2.6. Ведения корпоративных телефонных и иных информационных справочников;
2.7. Исполнения обязательств, установленных законодательством РФ.
3. Нормативные основания обработки персональных данных.
Нормативными основаниями для обработки персональных данных Оператор являются: Международные документы, Трудовой кодекс Российской Федерации, Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», с учетом отдельных положений Федерального закона от 27.07.2006 г. № 152-ФЗ »О персональных данных», Федеральный закон от 21.07.2014 г. № 242-ФЗ »О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», Указ Президента Российской Федерации от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера», Указ Президента Российской Федерации от 17.03.2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена», Распоряжение Президента Российской Федерации от 10.07.2001 г. № 366-РП «О подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных, Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 »Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Приказ Роскомнадзора от 05.09.2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных», Приказ ФСБ России от 09.02.2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации. Положение ПКЗ 2005)», Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», а также уставные документы оператора; договоры, заключаемые между оператором и субъектом персональных данных; согласие на обработку персональных данных.
4. Применяемые способы обработки персональных данных
4.1. Обработка персональных данных в Aporro может осуществляться с использованием средств автоматизации, в том числе в информационных системах персональных данных, и без использования таких средств (смешанная обработка персональных данных).
4.2. При обработке персональных данных применяется передача персональных данных по внутренней сети Оператора и с использованием информационно-телекоммуникационной сети «Интернет».
5. Обрабатываемые персональные данных и источники их получения
5.1. Персональные данные получаются Оператором непосредственно от субъекта персональных данных, если иной порядок получения персональных данных не установлен Федеральным законом.
5.2. Персональные данные могут быть получены не от субъекта персональных данных при наличии согласия субъекта персональных данных на передачу его персональных данных в Aporro для обработки, если иной порядок получения персональных данных не предусмотрен Федеральным законом.
5.3. Обработка специальных категорий персональных данных покупателей Aporro (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни), биометрических персональных данных (характеризующих физиологические и биологические особенности человека, на основании которых можно установить личность субъекта) в Aporro не допускается, за исключением случаев, предусмотренных Федеральным законом.
5.4. Не допускается использование персональных данных для политической агитации, а также для продвижения товаров, работ, услуг, за исключением случаев, предусмотренных Федеральным законом.
5.5. В Aporro обрабатываются персональные данные, принадлежащие:
5.5.1. Работникам лица Aporro;
5.5.3. Кандидатам, рассматриваемым для заключения трудовых договоров;
5.5.3. Субъектам, обработка персональных данных которых связана с исполнением условий заключенных договоров;
5.5.4. Лицам, состоявшим в трудовых отношениях с лицом Aporro.
6. Сроки обработки и хранения персональных данных
6.1. Обработка персональных данных начинается не ранее возникновения правовых оснований обработки персональных данных, перечисленных настоящем документе.
6.2. Обработка персональных данных прекращается при достижении целей обработки, утрате правовых оснований обработки, окончании сроков хранения документов, установленных законодательством Российской Федерации.
7. Сведения о третьих лицах, участвующих в обработке персональных данных
7.1. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом, на основании заключаемого с этим лицом договора.
7.2. В поручении Оператора (договоре) определяется перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указываются требования к защите обрабатываемых персональных данных.
7.3. Лицо, осуществляющее обработку персональных данных по поручению Оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
7.4. В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.
8. Трансграничная передача персональных данных
Aporro не осуществляет трансграничную передачу персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
9. Сведения о реализуемых требованиях к защите персональных данных
9.1. Оператор при обработке персональных данных обеспечивает принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий в отношении персональных данных.
9.2. Обеспечение безопасности персональных данных достигается, в частности:
9.2.1. Назначением ответственных за организацию обработки персональных данных и обеспечение безопасности персональных данных;
9.2.2. Изданием локальных нормативных актов по вопросам обработки и защиты персональных данных, направленных на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
9.2.3. Определением перечня должностей, при замещении которых осуществляется обработка персональных данных;
9.2.4. Проведением методической помощи, ознакомлением под роспись работников, осуществляющих обработку персональных данных, с фактом их участия в обработке персональных данных, а также с правилами обработки и защиты персональных данных, установленных нормативными правовыми актами органов исполнительной власти и локальными нормативными актами Aporro;
9.2.5. Учетом материальных носителей персональных данных и контролем за их обращением в целях исключения утраты, хищения, подмены, несанкционированного копирования или уничтожения;
9.2.6. Ведением учета исполнения обращений субъектов персональных данных;
9.2.7. Передачей персональных данных внутри Оператора только между лицами, занимающими должности, включенные в перечень должностей, при замещении которых осуществляется обработка персональных данных и в пределах степени доступа к такой информации;
9.2.8. Размещением обработки персональных данных в границах охраняемой территории, а также организацией физической защиты носителей персональных данных, мест и средств их обработки;
9.2.9. Организацией доступа в помещения, используемые для обработки персональных данных и/или хранения их материальных носителей;
9.2.10. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных, разработкой, при необходимости, системы защиты персональных данных при их обработке в информационных системах персональных данных и определением правил доступа к персональным данным;
9.2.11. Обнаружением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
9.2.12. Составлением типовых форм для сбора персональных данных таким образом, чтобы каждый из субъектов персональных данных имел возможность ознакомиться со своими персональными данными, не нарушая прав и законных интересов иных субъектов персональных данных;
9.2.13. Внесением в типовые формы, предусматривающие указание в них персональных данных, полей, в которых субъект персональных данных имел бы возможность проставить отметку о своем согласии на обработку персональных данных;
9.2.14. Периодическим контролем за соответствием принимаемых мер по обеспечению безопасности персональных данных законодательству Российской Федерации о персональных данных и принятым в его исполнение локальным нормативным актам.
10. Ответственность за нарушение правил обработки персональных данных и требований к защите персональных данных
Работники Индивидуального предпринимателя, участвующие в обработке персональных данных, несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с действующим законодательством Российской Федерации за нарушение правил обработки персональных данных и требований к защите персональных данных.
11. Контактная информация
Адрес: 105066, город Москва, ул. Нижняя Красносельская, д. 35 стр. 9, ком. 11/12 (russia@aporro.com)Уполномоченный орган по защите прав субъектов персональных данных - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Управление по защите прав субъектов персональных данных.