Политика в отношении обработки персональных данных в Суши-бару "Апонец"
Суши-бар "Апонец" - далее Сервис, используется в качестве обработчика персональных данных.
1. Общие положения
1.1. Политика обработки персональных данных в Сервисе (далее —Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в Сервисе персональных данных, функции
Сервис при обработке персональных данных, права субъектов персональных данных, а также реализуемые в Сервисе требования к защите персональных данных.
1.2. Настоящая Политика в отношении обработки персональных данных разработана в соответствии с ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в Сервисе с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в Сервисе вопросы обработки персональных данных работников Сервиса и других субъектов персональных данных.
1.4. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые Сервисом с применением средств автоматизации и без применения таких средств.
1.5. Настоящая Политика вводится в действие приказом директора Сервиса.
2. Законодательные и иные нормативные правовые акты, в соответствии с которыми осуществляется обработка персональных данных в Сервисе
2.1. Политика обработки персональных данных в Сервисе определяется в соответствии со следующими нормативными правовыми актами:
-Конституция Российской Федерации;
-Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
-Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
-Трудовой кодекс Российской Федерации;
-постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой
без использования средств автоматизации»;
-постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
-постановление Правительства Российской Федерации от 06 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных
и технологиям хранения таких данных вне информационных систем персональных данных»;
-приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных
данных»;
-приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
-иные федеральные нормативные правовые акты и нормативные документы уполномоченных органов государственной власти.
2.2. Для регламентирования процедур и процессов обработки ПДн Сервис вправе издавать внутренние нормативные документы, содержащие требования по защите и порядку обработки ПДн..
3. Основные понятия и определения.
Персональные данные(далее –ПДн) –любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Информация–сведения (сообщения, данные) независимо от формы их представления.
Оператор–государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных–любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных–обработка персональных данных с помощью средств вычислительной техники.
Предоставление персональных данных–действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных–действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Трансграничная передача персональных данных–передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Блокирование персональных данных–временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
Уничтожение персональных данных–действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных–действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных–совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Сервис – Суши-бар "Апонец".
Клиенты–физические лица и юридические лица, с которыми у Общества установлены в настоящее время, ранее уже были установлены гражданско-правовые отношения, либо которые своими действиями выражают намерение установить такие отношения.
Посетители–физические лица, в отношении которых осуществляются мероприятия по контролю доступа на защищаемые объекты Общества.
Сотрудники –штатные Работники Общества, с которыми у Сервиса заключен трудовой договор, либо внештатные совместители на основании гражданско-правовых договоров.
4. Сроки обработки персональных данных.
4.1. Сроки обработки ПДн определяются в соответствии со сроком действия гражданско-правовых отношений между субъектом ПДн и Обществом; сроком исковой давности; сроками, указанными в согласии субъекта ПДн; сроками, установленными Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих
архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»; сроками хранения медицинской документации, установленными Приказом Минздрава СССР от 04 октября 1980 г. № 1030 «Об утверждении форм первичной медицинской документации учреждений здравоохранения», а также иными требованиями законодательства РФ и
нормативными документами Общества.
4.2. В Обществе создаются и хранятся документы, содержащие сведения о субъектах ПДн. Требования к использованию в Обществе данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств
автоматизации».
4.3. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5. Принципы и цели обработки Пдн.
5.1. Сервис, являясь оператором ПДн, осуществляет обработку ПДн работников ООО «БЛИСС» и других субъектов Пдн, не состоящих с Сервисом в трудовых отношениях.
5.2. Обработка ПДн в Сервисе осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Сервиса и других субъектов ПДн, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
-обработка ПДн осуществляется в Сервисе на законной и справедливой основе;
-обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
-не допускается обработка ПДн, несовместимая с целями сбора ПДн;
-не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
-обработке подлежат только ПДн, которые отвечают целям их обработки;
-содержание и объем обрабатываемых ПДн соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых Пдн по отношению к заявленным целям их обработки;
-при обработке ПДн обеспечиваются точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Сервисом принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных ПДн;
-хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем того требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
-обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.3. ПДн обрабатываются в Сервисе в целях:
-обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Сервиса;
-осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Сервисе, в том числе по предоставлению ПДн в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
-регулирования трудовых отношений с работниками Сервиса (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
-предоставления работникам Сервиса дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;
-защиты жизни, здоровья или иных жизненно важных интересов субъектов ПДн;
-подготовки, заключения, исполнения и прекращения договоров с контрагентами;
-формирования справочных материалов для информационного обеспечения деятельности Сервиса;
-исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
-осуществления прав и законных интересов Сервиса в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Сервиса, или третьих лиц либо достижения общественно значимых целей;
-в иных законных целях.
5.4. Сервис собирает ПДн только в объеме, необходимом для достижения названных целей. Допускаются иные цели обработки ПДн в случае, если указанные действия не противоречат действующему законодательству, деятельности Общества и на проведение указанной обработки получено согласие клиента Общества.
6. ПДн, обрабатываемые в Сервиса.
6.1. Перечень обрабатываемых ПДн, подлежащих защите в Сервисе, формируется
в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Уставом и внутренними нормативными документами Общества.
6.2. ПДн клиентов Общества –это любая информация, относящаяся к прямо или косвенно определенному или определяемому клиенту Сервиса (субъекту ПДн) –физическому лицу.
6.3. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Сервисе не осуществляется.
6.4. Общество не вправе производить обработку данных о судимости клиента, за исключением в случаях и в порядке, которые определяются в соответствии с федеральными законами.
6.5. Данные о здоровье обрабатываются Обществом только в том случае, если эти данные прямо относятся к возможности субъекта персональных данных исполнять свои обязательства перед Обществом либо используются в целях исполнения требований действующего законодательства.
6.6. В случае если обработка специальных категорий ПДн клиента Общества необходима по действующему законодательству или для осуществления деятельности Общества, то такая обработка осуществляется с письменного согласия клиента, за исключением случаев, предусмотренных законодательством Российской Федерации в области ПДн.
6.7. Общество не обрабатывает сведения, которые характеризуют физиологические особенности клиентов и на основе которых можно установить их личность. В соответствие с требованиями ГОСТ Р ИСО/МЭК.
19794-5-2006 «Автоматическая идентификация. Идентификация биометрическая. Данные изображения лица» система охранного видеонаблюдения, используемая в Обществе, не обрабатывает биометрические ПДн, на основании которых возможно идентифицировать личность клиента Общества. Сканирование фотографий в документах, идентифицирующих личность клиентов (например, в паспортах), в Обществе не осуществляется. Передаваемые в рамках договоров копии паспортов (документов, удостоверяющих личность) клиентов не соответствуют требованиям, предъявляемым к форматам записи изображения, установленными ГОСТ Р ИСО/ МЭК 19794-5-2006.
6.8. В случае если обработка биометрических ПДн клиента Общества необходима по действующему законодательству или для осуществления деятельности Общества, то такая обработка осуществляется с письменного согласия клиента, за исключением случаев, предусмотренных законодательством Российской Федерации в области ПДн.
6.9. В целях информационного обеспечения могут создаваться общедоступные источники ПДн (в том числе справочники, адресные книги). В общедоступные источники ПДн с письменного согласия субъекта Пдн могут включаться его фамилия, имя, отчество, год и место рождения, адрес, включая адрес электронной почты, клиентский номер, IP-адрес, сведения о профессии и иные ПДн, сообщаемые субъектом ПДн или находящиеся в Перечне ПДн. Сведения о согласия субъекта ПДн должны быть в любое время исключены из общедоступных источников ПДн по запросу согласия субъекта ПДн либо по решению суда или иных уполномоченных государственных органов. В случае обработки общедоступных ПДн согласия субъекта ПДн обязанность доказывания того, что обрабатываемые Пдн являются общедоступными, возлагается на Общество.
7.Функции Сервиса при осуществлении обработки Пдн.
7.1. Сервис при осуществлении обработки ПДн:
-принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов Сервиса в области ПДн;
-принимает правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении ПДн;
-назначает лицо, ответственное за организацию обработки ПДн в Сервисе;
-издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты ПДн в Сервисе;
-осуществляет ознакомление работников Сервиса, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации и локальных нормативных актов Сервиса в области ПДн, в том числе требованиями
к защите ПДн, и обучение указанных работников;
-публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
-сообщает в установленном порядке субъектам ПДн или их представителям информацию о наличии ПДн, относящихся к соответствующим субъектам, предоставляет возможность
ознакомления с этими ПДн при обращении и (или) поступлении запросов указанных субъектов ПДн или их представителей, если иное не установлено законодательством Российской Федерации;
-прекращает обработку и уничтожает ПДн в случаях, предусмотренных законодательством Российской Федерации в области ПДн;
-совершает иные действия, предусмотренные законодательством Российской Федерации в области Пдн.
8. Условия обработки персональных данных в Сервисе.
8.1. Субъект ПДн является собственником своих ПДн и самостоятельно решает вопрос передачи Обществу своих ПДн.
8.2. Держателем ПДн является Общество, которому субъект Пдн передает во владение свои ПДн. Общество выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.
8.3. Обработка ПДн клиентов осуществляется с их согласия на обработку их ПДн, а также в иных случаях, предусмотренных статьей 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Согласие на обработку ПДн может бытьдано клиентом или его законным представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку ПДн от представителя клиента полномочия данного представителя проверяются Обществом. Форма согласия может быть в письменной, конклюдентной или иной форме, предусмотренной действующим законодательством. При недееспособности клиента
письменное согласие на обработку его данных дает его законный представитель.
8.4. В случаях, предусмотренных Федеральным законом от 27.07.2006
№ 152-ФЗ «О персональных данных», обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн.
8.5. В соответствии со статьей 158 Гражданского кодекса Российской Федерации конклюдентное или подразумеваемое согласие –это действия лица, выражающие его волю установить правоотношение (например, совершить сделку), но не в форме устного или
письменного волеизъявления, а поведением, по которому можно сделать заключение о таком намерении. Клиенты Общества дают конклюдентное согласие на обработку их ПДн в том числе в следующих случаях:
Виды обработки ПДн |
Цель обработки |
Обрабатываемые ПДн |
Заполнение анкет, в т.ч. и на web-сайте Общества |
-предоставлениеинформации о товарах, услугах, которые потенциально могут представлять интерес; -проведение социологических и других исследований, включая исследования степенью удовлетворенности качеством оказанных услуг в Сервисе, в том числе через формы на web-сайте Общества; -предоставление on-line консультаций посредством специальных форм на web-сайте Сервиса. |
Фамилия, имя, отчество, телефон, адрес электронной почты |
8.6.Общество вправе выступать агентом по обработке ПДн по поручению Оператора –юридического лица на основании заключенного с Оператором договора. Общество, при осуществлении обработки ПДн по поручению Оператора, обязано выполнять требования Оператора и соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом «О персональных данных» и не обязано получать согласие субъекта ПДн на обработку его персональных данных.
9. Перечень действий с ПДн и способы их обработки.
9.1. Сервис осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
9.2. Обработка ПДн в Сервисе осуществляется следующими способами:
-неавтоматизированная обработка ПДн;
-автоматизированная обработка ПДн с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
-смешанная обработка Пдн.
10. Права субъектов Пдн.
10.1. Субъекты ПДн имеют право на:
-полную информацию об их ПДн, обрабатываемых в Сервисе;
-доступ к своим ПДн, включая право на получение копии любой записи, содержащей их ПДн, за исключением случаев, предусмотренных федеральным законом, а также на доступ
к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
-уточнение своих ПДн, их блокирование или уничтожение в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
-отзыв согласия на обработку ПДн;
-принятие предусмотренных законом мер по защите своих прав;
-обжалование действия или бездействия Сервиса, осуществляемого с нарушением требований законодательства Российской Федерации в области ПДн, в уполномоченный орган по защите прав субъектов ПДн или в суд;
- осуществление иных прав, предусмотренных законодательством Российской Федерации.
11. Меры, принимаемые Сервисом для обеспечения выполнения обязанностей оператора при обработке Пдн.
11.1. Меры, необходимые и достаточные для обеспечения выполнения Сервисом обязанностей оператора, предусмотренных законодательством Российской Федерации в области ПДн, включают:
· назначение лица, ответственного за организацию обработки Пдн в Сервисе;
· принятие локальных нормативных актов и иных документов в области обработки и защиты ПДн;
· организацию обучения и проведение методической работы с работниками структурных подразделений Сервиса, занимающими должности, включенные в перечень должностей замещение которых предусматривает обработку ПДн;
· получение согласий субъектов ПДн на обработку их ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации;
· обособление ПДн, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях ПДн,в специальных разделах;
· обеспечение раздельного хранения ПДн и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории ПДн;
· установление запрета на передачу ПДн по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны Сервисом и сетям без применения установленных в Сервисе мер по обеспечению безопасности ПДн (за исключением ПДн , признанных общедоступными и/или обезличенными);
· хранение материальных носителей ПДн с соблюдением условий, обеспечивающих сохранность ПДн и исключающих несанкционированный доступ к ним;
· осуществление внутреннего контроля соответствия обработки Пдн Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, настоящей Политике, локальным нормативным актам Сервиса;
· иные меры, предусмотренные законодательством Российской Федерации в области ПДн.
11.2. Меры по обеспечению безопасности ПДн при их обработке в информационных системах ПДн устанавливаются в соответствии с локальными нормативными актами Сервиса, регламентирующими вопросы обеспечения безопасности ПДн при их обработке в информационных системах ПДн Сервиса.
12. Заключительные положения.
12.1. Настоящая Политика является общедоступной, хранится по фактическому нахождению Сервиса и подлежит опубликованию на интернет-сайте Сервиса www.aponec.ru.
12.2. Политика действует в отношении всей информации, которую администрация сайта Сервиса может получить о пользователе сервисов сайта. Использование сервисов сайта
означает безоговорочное согласие пользователя с настоящей Политикой и указанными в ней условиями обработки его персональной информации, в случае несогласия с этими условиями, пользователь должен воздержаться от использования сервисов сайта.
12.3. Настоящая Политика подлежит изменению, дополнению в случае внесения изменений в действующие законодательные акты и появления новых законодательных актов, и специальных нормативных документов по обработке и защите ПДн.
12.4. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки ПДн Общества.
12.5. Ответственность должностных лиц Общества, имеющих доступ к ПДн, за невыполнение требований норм, регулирующих обработку и защиту ПДн, определяется в соответствии с законодательством РФ.