политика конфиденциальности для интернет магазина образец 2021

Шаблон политики конфиденциальности 2021

Политика конфиденциальности необходима каждому сайту для продвижения в разных источниках. Без неё рекламные площадки могут просто не одобрить запуск рекламных объявлений. Здесь можно скачать образец политики конфиденциальности, который удовлетворяет всем условиям рекламных площадок.

Политика конфиденциальности обязана быть на каждом сайте, где осуществляется сбор персональных данных пользователей. Именно из-за отсутствия политики конфиденциальности могут не пропустить рекламу ВКонтакте. Мы подготовили для вас шаблон политики конфиденциальности для сайта. Можно просто скачать и поменять адрес сайта на свой. Сохранить в PDF и загрузить на сервер сайта. В подвале сайта укажите ссылку на этот PDF документ. Остальная информация в статье для любознательных.

Простой текст политики конфиденциальности. Подходит для большинства сайтов и годится для прохождения модерации рекламы ВКонтакте.

Согласно Федеральному закону «О персональных данных» необходимо опубликовать на сайте или как-то обеспечить постоянный доступ к Политике конфиденциальности. В ней определены отношения по сбору и обработке персональных данных пользователей (п.2 ст.18.1 ФЗ «О персональных данных»).

Что должен содержать текст политики конфиденциальности

Конечно от сайта к сайту текст политики может меняться. Тут всё зависит от нюансов конкретного сайта. Но в целом есть ряд пунктов, которые должны быть отражены в этом документе. Вот что должен содержать текст политики:

Источник

Примеры политики конфиденциальности для интернет-магазина

Политика конфиденциальности для интернет магазина не только важна, но также обязательна, ведь деятельность e-commerce сопряжена с обработкой массивов персональных данных клиентов.

Чтобы сделать покупку в интернет-магазине, вам необходимо оставить хотя бы минимальные данные о себе. Это может быть телефон для связи в случае ускоренного заказа и расширенный перечень информации в случае регистрации:

Сбором персональных данных занимаются не только торговые площадки, но это самый актуальный и показательный пример. Составлением и размещением правильной политики обработки персональных данных озабочены очень многие владельцы интернет магазинов.

Что такое политика конфиденциальности и зачем она нужна

Для сбора информации о посетителе сайта:

владелец ресурса обязан разъяснить посетителю все возможные варианты и последствия сбора и использования его личной информации.

Это обязывает делать Закон 152-ФЗ «О персональных данных».

Таким документом является политика конфиденциальности. В ней описывается то, в каком порядке посетитель предоставляет согласие на обработку своих данных, методы и цели их обработки, порядок обеспечения безопасности и конфиденциальности данных.

В частности, в политике конфиденциальности могут быть перечислены виды обезличенной информации, получаемые оператором. Это могут быть данные геолокации, cookie, IP и так далее.

Грамотно составленная политика конфиденциальности позволяет избежать получения письменного согласия владельца данных и регистрации как оператора персональных данных.

Более того, с июля 2017 года внесены изменения в ст. 13.11 КоАП, в связи с чем изменилось наказание за неисполнение требований закона.

Для чего нужна политика конфиденциальности

Политика обработки персональных данных в интернет-магазине необходима для получения разрешения пользователей на использование их личной информации. Эта практика — часть работы владельцев интернет-магазинов, так как процесс покупки товаров связан с передачей конфиденциальных данных. При поступлении заказа происходит передача контактной информации для обработки заказа. Обрабатываются персональные сведения:

Действительно ли политика конфиденциальности обязательна

Получение согласия от пользователей — настоятельная рекомендация многих специалистов, и лучше ей не пренебрегать. Тем не менее, в случае, если вы не обзавелись подобным документом, у вас есть аргументы в свою защиту.

Для начала, стоит выяснить, какая именно информация относится к персональным данным. Ни один правовой акт не даёт точного ответа на этот вопрос.

Во многих прецедентах одни и те же данные определялись как персональные и не определялись. В связи с этим необходимо быть осторожными и бдительными.

Вместе с тем, правильно составленный договор об оказании услуг и политика конфиденциальности способны вывести вас из-под удара. Далеко не всегда требуется согласие пользователя на обработку его данных. Так, ООО «В Контакте», представляющее известную социальную сеть, не зарегистрировано в реестре операторов Роскомнадзора.

Если же вы не защитили себя должным образом, то штраф в случае неуведомления РКН для юридических лиц составит до 5 000 рублей.

Что касается самого документа, то его наличие на сайте обязательно, если вы владелец сайта. Аналог политики конфиденциальности — Положение об обработке персональных данных — также желательно составить работодателям и предпринимателям, оказывающим услуги физическим лицам.

Как и кем составляется

Владелец сайта может составить документ самостоятельно или обратиться за помощью к юристам. Составление политики конфиденциальности осложняется тем, что не существует единой утвержденной законом нормы. Формирование документа основывается только на рекомендациях Роскомнадзора. Согласно им, политики конфиденциальности должна включать в себя:

Пример политики конфиденциальности

Наш документ состоит из главных пунктов, предусмотренных законодательством:

В каких еще случаях нужна политика конфиденциальности

Политика конфиденциальности публикуется только у операторов персональных данных. Это могут быть физические лица, компании или государственные организации, которые занимаются сбором, хранением, обработкой конфиденциальной информации.

Если для работы на сайте пользователю необходимо только оставить имя или указать никнейм, политика конфиденциальности не нужна. В данном случае информация никак не поможет в идентификации личности человека.

Генераторы политики конфиденциальности

Генераторы — это специальные сервисы, формирующие документ об обработке персональных данных в соответствии с заданными пользователем параметрами. С их помощью может быть составлена политика конфиденциальности для интернет-магазина. Популярные сервисы:

Юридические ошибки интернет-магазина

Частые ошибки в юридической деятельности интернет-магазинов:

Отсутствие на сайте политики конфиденциальности

Все клиенты, заполняющие форму для покупки товаров в интернет-магазинах, передают сайту свои персональные данные, что регламентируется ФЗ «О персональных данных». Поэтому любой владелец ресурса, как оператор данных, должен соблюдать требования, прописанные в законе.

Оператор обязуется предоставлять всем пользователям информацию в открытом доступе, касающуюся сведений о политике обработки данных. За нарушение закона предусматривается штраф, в редких случаях компаниям удается отделаться предупреждением.

Отсутствие в оферте полной информации о товаре и продавце

Продавец перед заключением сделки должен проинформировать покупателя о свойствах товара, особенностях продажи. В число таких сведений должны входить:

Следует указать состояние продаваемого товара. Например, важно отметить, находился ли он ранее в употреблении, проводился ли ремонт или продукт продается новым.

Отсутствие на сайте необходимой информации о рекламодателе

Эта проблема характерна для продажи продуктов через интернет-магазина от различных поставщиков. ФЗ «О рекламе» указывает на то, что покупатели перед заключением сделки должны получить следующую информацию:

Обратите внимание на то, что рекламой не будет считаться информация о продаваемых товарах, размещенная с целью информирования посетителей. При указании отметок о проведении акций, мероприятий не нужно указывать информацию о рекламодателе, так как это сведения информационного характера.

Штрафы за несоблюдение политики конфиденциальности

КоАП РФ предусматривает штрафы для владельцев интернет-магазинов, не размещающих политику конфиденциальности. За ее отсутствие выписываются следующие штрафы:

Иногда Роскомнадзор принимает решение о блокировке ресурса до момента, пока нарушение не будет устранено. Разместить документ владелец сайта может оперативно, а дожидаться разблокировки придется длительное время. Поэтому при запуске сайта важно предусмотреть это.

Заключение

Политика конфиденциальности обязательна для всех операторов персональных данных. Ее необходимо размещать для того, чтобы обезопасить себя от санкций. Она направлена на информирование пользователей об условиях работы на сайте, что необходимо в случаях предоставления персональных данных. Составить документ можно самостоятельно, с помощью онлайн-генераторов или посредством консультации с юристом.

Источник

Согласие на обработку персональных данных в правила настройки + готовый шаблон

Если в вашем не спрашивается согласие на обработку персональных данных и не прописана «Политика конфиденциальности», по закону «О персональных данных» вам грозит штраф.

Объясняем по порядку, о чём речь и что делать, чтобы всё было хорошо.

Что такое персональные данные и кто их собирает

Персональные данные — это все данные, которые посетитель сайта оставляет в формах сбора данных: обратной связи, подписки на рассылку, регистрации или в личном кабинете.

В законе написано, что это «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Например:

Причём некоторые данные считаются персональными не сами по себе, а в сочетании друг с другом. Например, по имени, фамилии и отчеству нельзя точно идентифицировать человека, а в сочетании с адресом — можно. Но, чтобы не разбираться в комбинациях, проще считать все эти данные персональными и работать с ними правильно.

Каждый собирает персональные данные — при оформлении заказа покупатель оставляет свои контакты или адрес. Даже если человек ничего не купил, а просто подписался на рассылку, это тоже считается сбором персональных данных.

По закону просто так собирать персональные данные нельзя. Надо получить осознанное согласие пользователя (то есть потребовать от него действия, а не просто уведомить) и дать ему знать, как именно его данные будут использоваться. И, конечно, правильно хранить эти данные. Рассказываем, как это делать.

Как собирать персональные данные по закону

Чтобы не нарушать закон и не платить штраф:

Пример формы с согласием на обработку персональных данных

В магазине на Эквиде можно быстро настроить согласие на обработку персональных данных по инструкции.

Для соблюдения формальностей закона этого будет достаточно.

Постарайтесь не брать у пользователей данные, необязательные для оформления заказа — дата рождения, пол и другие. Необходимость вводить много данных раздражает пользователя. Плюс по закону «обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки». Чтобы никто к вам не придрался, не собирайте лишнего.

Пример политики конфиденциальности (готовый шаблон)

Совместно с юристом мы подготовили шаблон «Политики конфиденциальности» для

Скачайте шаблон «Политики конфиденциальности» и используйте в своём магазине

Все формулировки в шаблоне юридически выверены и подойдут большинству Но мы всё равно рекомендуем вам проконсультироваться с юристом: возможно у вашей компании есть особенности и их стоит добавить в политику.

Как хранить данные клиентов

Мало просто добавить на сайт правильный документ и чекбоксы. Данные, которые вам доверил клиент, надо правильно хранить. И не просто потому, что того требует закон. Вряд ли из ваших клиентов захочется, чтобы их адрес, телефон или другие личные данные оказались в открытом доступе. И они вполне могут пожаловаться, если заподозрят, что утечка данных произошла у вас.

Вот минимальные меры предосторожности, которых стоит придерживаться:

Читайте подробнее, как обеспечить безопасность и данных клиентов.

И, конечно вы обязаны удалять данные клиентов по их первому требованию.

Что сделать ещё, чтобы работать по закону

Кроме политики конфиденциальности на сайт магазина нужно добавить оферту, плюс можно показывать сообщение о сборе файлов cookie.

Написать об использовании cookie можно в тексте «Политики конфиденциальности» (в нашем шаблоне подходящая формулировка уже есть). Но можно сообщить пользователям об этом отдельно, разместив на сайте всплывающий баннер. В для создания такого баннера подойдёт приложение Promo Bar.

Источник

Шаблон политики конфиденциальности 2021 для форм обратной связи

Политика обработки персональных данных для форм обратной связи

Описание

Утверждена Приказом № ___ от ___

Директора ООО «___________»

ПОЛИТИКА ЗАЩИТЫ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ООО «______»

1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с пунктом 2 статьи 18.1 Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 г., а также иными нормативными правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персон альных данных (далее – данные), которые Организация (далее – Оператор, Общество) может получить от субъекта персональных данных, являющегося стороной по гражданско-правовому договору, от пользователя сети Интернет (далее – Пользователь) во время использования им любого из сайтов, сервисов, служб, программ, продуктов или услуг ООО «___», а также от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее – Работник).

1.2. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

1.3. Оператор вправе вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.

2. Термины и принятые сокращения

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Персональные данные, сделанные общедоступными субъектом персональных данных, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является ______________________, расположенное по адресу: __________________.

3. Обработка персональных данных

3.1. Получение персональных данных.

3.1.1. Все персональные данные следует получать от самого субъекта. Если персональные данные субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.

3.1.2. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных, перечне действий с персональными данными, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.

3.1.3. Документы, содержащие персональные данные, создаются путем:

– копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);

– внесения сведений в учетные формы;

– получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).

3.2. Обработка персональных данных.

3.2.1. Обработка персональных данных осуществляется:

– с согласия субъекта персональных данных на обработку его персональных данных;

– в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;

– в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных).

3.2.2. Цели обработки персональных данных:

– осуществление трудовых отношений;

– осуществление гражданско-правовых отношений;

— обезличивания персональных данных для получения обезличенных статистических данных, которые передаются третьему лицу для проведения исследований, выполнения работ или оказания услуг по поручению магазина.

3.2.3. Категории субъектов персональных данных.

Обрабатываются персональные данные следующих субъектов персональных данных:

– физические лица, состоящие с Обществом в трудовых отношениях;

– физические лица, уволившиеся из Общества;

– физические лица, являющиеся кандидатами на работу;

– физические лица, состоящие с Обществом в гражданско-правовых отношениях;

– физические лица, являющиеся Пользователями Сайта Магазина.

3.2.4. Персональные данные, обрабатываемые Оператором:

– данные, полученные при осуществлении трудовых отношений;

– данные, полученные для осуществления отбора кандидатов на работу;

– данные, полученные при осуществлении гражданско-правовых отношений;

– данные, полученные от Пользователей Сайта Магазина.

3.2.5. Обработка персональных данных ведется:

– с использованием средств автоматизации;

– без использования средств автоматизации.

3.3. Хранение персональных данных.

3.3.1. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

3.3.2. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.

3.3.3. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.

3.3.4. Не допускается хранение и размещение документов, содержащих персональных данных, в открытых электронных каталогах (файлообменниках) в ИСПД.

3.3.5. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.4. Уничтожение персональных данных.

3.4.1. Уничтожение документов (носителей), содержащих персональных данных, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

3.4.2. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.

3.4.3. Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей.

3.5. Передача персональных данных.

3.5.1. Оператор передает персональные данные третьим лицам в следующих случаях:

– субъект выразил свое согласие на такие действия;

– передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.

3.5.2. Перечень лиц, которым передаются персональные данные.

– Пенсионный фонд РФ для учета (на законных основаниях);

– налоговые органы РФ (на законных основаниях);

– Фонд социального страхования РФ (на законных основаниях);

– территориальный фонд обязательного медицинского страхования (на законных основаниях);

– страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);

– банки для начисления заработной платы (на основании договора);

– органы МВД России в случаях, установленных законодательством;

– обезличенные персональные данные Пользователей сайта интернет-магазина передаются контрагентам Магазина.

4. Защита персональных данных

4.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.

4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.

4.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.

4.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.

4.4. Основными мерами защиты персональных данных, используемыми Оператором, являются:

4.5.1. Назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите персональных данных.

4.5.2. Определение актуальных угроз безопасности персональных данных при их обработке в ИСПД и разработка мер и мероприятий по защите персональных данных.

4.5.3. Разработка политики в отношении обработки персональных данных.

4.5.4. Установление правил доступа к персональных данных, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в ИСПД.

4.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.

4.5.6. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

4.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

4.5.8. Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.

4.5.9. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.

4.5.10. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

4.5.11. Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.

4.5.12. Осуществление внутреннего контроля и аудита.

5. Основные права субъекта персональных данных и обязанности Оператора

5.1. Основные права субъекта персональных данных.

Субъект имеет право на доступ к его персональным данным и следующим сведениям:

– подтверждение факта обработки персональных данных Оператором;

– правовые основания и цели обработки персональных данных;

– цели и применяемые Оператором способы обработки персональных данных;

– наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональных данных или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

– сроки обработки персональных данных, в том числе сроки их хранения;

– порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;

– наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

– обращение к Оператору и направление ему запросов;

– обжалование действий или бездействия Оператора.

5.2. Обязанности Оператора.

– при сборе персональных данных предоставить информацию об обработке персональных данных;

– в случаях если персональные данные были получены не от субъекта персональных данных, уведомить субъекта;

– при отказе в предоставлении персональных данных субъекту разъясняются последствия такого отказа;

– опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;

– принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

– давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.

Скачать шаблон

Примеры документов для обратной связи на сайте

Политика обработки персональных данных для интернет-магазина

Скачать примеры документов для интернет-заказа

Описание

1.2. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

1.3. Оператор вправе вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.

2. Термины и принятые сокращения

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Персональные данные, сделанные общедоступными субъектом персональных данных, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является ______________________, расположенное по адресу: __________________.

3. Обработка персональных данных

3.1. Получение персональных данных.

3.1.1. Все персональные данные следует получать от самого субъекта. Если персональные данные субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.

3.1.2. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных, перечне действий с персональными данными, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.

3.1.3. Документы, содержащие персональные данные, создаются путем:

– копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);

– внесения сведений в учетные формы;

– получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).

3.2. Обработка персональных данных.

3.2.1. Обработка персональных данных осуществляется:

– с согласия субъекта персональных данных на обработку его персональных данных;

– в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;

– в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных).

3.2.2. Цели обработки персональных данных:

– осуществление трудовых отношений;

– осуществление гражданско-правовых отношений;

– для идентификации пользователей (посетителей) сайта интернет-магазина, для связи с пользователем, в том числе направление уведомлений, запросов и информации, касающихся использования сайта магазина, исполнения соглашений и договоров, а также обработки запросов и заявок от пользователя.

— обезличивания персональных данных для получения обезличенных статистических данных, которые передаются третьему лицу для проведения исследований, выполнения работ или оказания услуг по поручению магазина.

3.2.3. Категории субъектов персональных данных.

Обрабатываются персональные данные следующих субъектов персональных данных:

– физические лица, состоящие с Обществом в трудовых отношениях;

– физические лица, уволившиеся из Общества;

– физические лица, являющиеся кандидатами на работу;

– физические лица, состоящие с Обществом в гражданско-правовых отношениях;

– физические лица, являющиеся пользователями сайта магазина.

3.2.4. Персональные данные, обрабатываемые Оператором:

– данные, полученные при осуществлении трудовых отношений;

– данные, полученные для осуществления отбора кандидатов на работу;

– данные, полученные при осуществлении гражданско-правовых отношений;

– данные, полученные от пользователей сайта магазина.

3.2.5. Обработка персональных данных ведется:

– с использованием средств автоматизации;

– без использования средств автоматизации.

3.3. Хранение персональных данных.

3.3.1. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

3.3.2. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.

3.3.3. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.

3.3.4. Не допускается хранение и размещение документов, содержащих персональных данных, в открытых электронных каталогах (файлообменниках) в ИСПД.

3.3.5. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.4. Уничтожение персональных данных.

3.4.1. Уничтожение документов (носителей), содержащих персональных данных, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

3.4.2. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.

3.4.3. Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей.

3.5. Передача персональных данных.

3.5.1. Оператор передает персональные данные третьим лицам в следующих случаях:

– субъект выразил свое согласие на такие действия;

– передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.

3.5.2. Перечень лиц, которым передаются персональные данные.

– Пенсионный фонд РФ для учета (на законных основаниях);

– налоговые органы РФ (на законных основаниях);

– Фонд социального страхования РФ (на законных основаниях);

– территориальный фонд обязательного медицинского страхования (на законных основаниях);

– страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);

– банки для начисления заработной платы (на основании договора);

– органы МВД России в случаях, установленных законодательством;

– обезличенные персональные данные Пользователей сайта интернет-магазина передаются контрагентам Магазина.

4. Защита персональных данных

4.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.

4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.

4.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.

4.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.

4.4. Основными мерами защиты персональных данных, используемыми Оператором, являются:

4.5.1. Назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите персональных данных.

4.5.2. Определение актуальных угроз безопасности персональных данных при их обработке в ИСПД и разработка мер и мероприятий по защите персональных данных.

4.5.3. Разработка политики в отношении обработки персональных данных.

4.5.4. Установление правил доступа к персональных данных, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в ИСПД.

4.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.

4.5.6. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

4.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

4.5.8. Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.

4.5.9. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.

4.5.10. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

4.5.11. Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.

4.5.12. Осуществление внутреннего контроля и аудита.

5. Основные права субъекта персональных данных и обязанности Оператора

5.1. Основные права субъекта персональных данных.

Субъект имеет право на доступ к его персональным данным и следующим сведениям:

– подтверждение факта обработки персональных данных Оператором;

– правовые основания и цели обработки персональных данных;

– цели и применяемые Оператором способы обработки персональных данных;

– наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональных данных или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

– сроки обработки персональных данных, в том числе сроки их хранения;

– порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;

– наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

– обращение к Оператору и направление ему запросов;

– обжалование действий или бездействия Оператора.

5.2. Обязанности Оператора.

– при сборе персональных данных предоставить информацию об обработке персональных данных;

– в случаях если персональные данные были получены не от субъекта персональных данных, уведомить субъекта;

– при отказе в предоставлении персональных данных субъекту разъясняются последствия такого отказа;

– опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;

– принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

– давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.

Источник