Политика в области обработки персональных данных

УТВЕРЖДЕНА приказом Генерального директора ООО «Горенье БТ» № 4-ОД от 30.06.2017

1. Суть и область действия настоящего документа.

1.1. Настоящий документ (далее — Политика) разработан в целях обеспечения реализации требований действующего законодательства РФ в области обработки персональных данных (далее – ПД) субъектов ПД, определяет категории, цели и общие принципы обработки ПД, а также реализуемые меры защиты ПД в ООО «Горенье БТ» (далее — Оператор), являющемся частью Группы Компаний Gorenje.

1.2. Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.

1.3. Политика действует бессрочно после утверждения и до ее замены новой версией.

1.4. В Политике используются термины и определения в соответствии с их значениями, как они определены в 152-ФЗ «О персональных данных», а также иных нормативно-правовых актах (далее – НПА) РФ, касающихся ПД.

1.5. Политика распространяется на всех сотрудников Оператора (включая работников по трудовым договорам и сотрудников, работающих по договорам подряда) и все структурные подразделения Оператора, включая обособленные подразделения. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки ПД Оператором, а также в случаях передачи им в установленном порядке ПД на основании соглашений, договоров, поручений на обработку.

2. Сведения об обработке персональных данных.

2.1. Действия с ПД включают получение и обработку ПД (определение термина дано в 152-ФЗ).

2.2. Обработка ПД Оператором может вестись как с использованием средств автоматизации, так и без них.

2.3. Обработка ПД осуществляется Оператором на законной и справедливой основе, правовыми основаниями для обработки являются:
  • Конституция Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Налоговый кодекс Российской Федерации;
  • Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных»;
  • Федеральный закон от 10.01.2002г. № 1-ФЗ «Об электронной цифровой подписи»;
  • Федеральный закон от 06.04.2011г. № 63-ФЗ «Об электронной подписи»;
  • Федеральный закон от 04.05.2011г. № 99-ФЗ «О лицензировании отдельных видов деятельности»;
  • Федеральный закон от 07.07.2003г. № 126-ФЗ «О связи»;
  • Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
  • Федеральный закон от 24.07.2009г. № 212-ФЗ «О страховых взносах в Пенсионный Фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;
  • Федеральный закон от 22.10.2004г. № 125-ФЗ «Об архивном деле в РФ»;
  • Федеральный закон от 07.02.2017г. № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»;
  • Иные нормативно-правовые акты (далее – НПА) РФ и внутренние документы (локальные НПА) Оператора, касающиеся ПД.

2.4. Содержание, объем обрабатываемых ПД, сама форма обработки определяются исходя из целей обработки. При получении ПД Оператором со стороны субъекта ПД заполняется соответствующая форма согласия гражданина РФ на обработку его ПД. Письменная форма согласия не заполняется в следующих случаях (данные случаи расцениваются как добровольное предоставление ПД, ибо не могли произойти без согласия лиц, предоставляющих ПД):
  • при оформлении заявки на сервисное обслуживание по телефону; в данном случае сам факт звонка расценивается как согласие предоставить ПД в соответствии с целью сервисного обслуживания, возможности которого описаны в «Условиях гарантии», являющихся частью сопроводительной документации к продукции, за которую Оператор несёт ответственность как импортёр и уполномоченное изготовителем лицо;
  • при обращении любого физического лица по электронной почте к Оператору на электронный адрес, взятый с официального сайта оператора info@gorenje.ru; вступая в переписку, физическое лицо уже по собственной воле, не по принуждению и в своих интересах даёт письменное согласие на получение и обработку его ПД, как минимум – своего адреса электронной почты и всех отправленных ПД, если они относятся к данному физическому лицу (или к другому физическому лицу, если лицо, ведущее переписку, является его законным представителем и действует от имени другого физического лица);
  • при обмене контактами/визитками сотрудниками в процессе профессиональной деятельности; сам факт заказа, а также предоставления визитных карточек (визиток) приравнивается к факту опубликования указанных в них данных, т.е. размещения их в свободном доступе;
  • в случаях использования сотрудниками корпоративных номеров телефонов (в том числе мобильных), адресов электронной почты, иных линий связи, находящихся в открытом и внутрикорпоративном доступе.

2.5. К основным категориям субъектов ПД, чьи данные обрабатываются и/или могут обрабатываться Оператором в соответствии с целями их получения, относятся физические лица:
  • состоящие и состоявшие в трудовых и гражданско-правовых отношениях с Оператором и/или контрагентами Оператора;
  • кандидаты на замещение вакантных должностей;
  • потребители продукции, за которую Оператор несёт ответственность как импортёр и уполномоченное изготовителем лицо при сервисном обслуживании;
  • возможные будущие потребители продукции, за которую Оператор несёт ответственность как импортёр и уполномоченное изготовителем лицо в случае участия в конкурсах, розыгрышах, при проведении иных маркетинговых акций.

2.6. Для указанных категорий субъектов могут обрабатываться: фамилия, имя, отчество; год, месяц, дата рождения; место рождения, адрес; семейное положение; социальное положение; имущественное положение; образование; профессия; доходы; ИНН, СНИЛС, контактная информация (телефон, адрес электронной почты), иные сведения, предусмотренные типовыми формами и установленным порядком обработки для каждого вида получения и обработки, а также в соответствии с целями обработки.

2.7. При обработке обеспечиваются точность ПД, их достаточность и актуальность по отношению к целям обработки ПД. При обнаружении неточных или неполных ПД производится их уточнение и актуализация. В случае необходимости уточнения, блокировки, удаления ПД по инициативе объекта ПД – вышеуказанные действия с ПД производятся Оператором по письменному запросу объекта ПД.

2.8. Для ПД, не являющихся общедоступными, обеспечивается конфиденциальность.

2.9. Обработка и хранение ПД осуществляются не дольше, чем этого требуют цели обработки ПД, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом ПД не установлен соответствующий срок обработки и хранения. Обрабатываемые ПД подлежат уничтожению либо обезличиванию в течение 30 рабочих дней при наступлении следующий условий:
  • достижение целей обработки ПД или сроков хранения, предусмотренных в Согласии на обработку ПД;
  • утрата необходимости в достижении целей обработки ПД;
  • предоставление субъектом ПД или его законным представителем подтверждения того, что ПД являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • невозможность обеспечения правомерности обработки ПД;
  • отзыв субъектом ПД согласия на обработку ПД, если сохранение ПД более не требуется для целей обработки ПД;
  • истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка ПД;
  • ликвидация (реорганизация) Оператора.

2.10. Обработка ПД на основании договоров и иных соглашений Оператора, поручений Оператору и поручений Оператора на обработку ПД осуществляется в соответствии с условиями этих договоров, соглашений Оператора, а также соглашений с лицами, которым поручена обработка или которые поручили обработку на законных основаниях. Такие соглашения могут определять, в частности:
  • цели, условия, сроки обработки ПД;
  • обязательства сторон, в том числе меры по обеспечению конфиденциальности;
  • права, обязанности и ответственность сторон, касающиеся обработки ПД.

2.11. В случаях, не предусмотренных явно действующим законодательством или договором, обработка ПД осуществляется после получения согласия субъекта ПД. Согласие может быть выражено в форме совершения действий, принятия условий, договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, или оформлено в письменной форме в соответствии с законодательством. 

3. Меры по обеспечению безопасности персональных данных.

3.1. Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности ПД для их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:
  • назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности ПД;
  • проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности ПД;
  • издание локальных актов по вопросам обработки ПД, ознакомление с ними работников, обучение пользователей;
  • обеспечение физической безопасности помещений и средств обработки, пропускной режим, охрана и т.п.;
  • ограничение и разграничение доступа сотрудников и иных лиц к ПД и средствам обработки, мониторинг действий с ПД;
  • определение угроз безопасности ПД при их обработке;
  • применение средств обеспечения безопасности (антивирусных средств, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке;
  • учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
  • резервное копирование информации для возможности восстановления;
  • осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.

4. Права субъектов персональных данных.

4.1. Субъект ПД имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Оператору в письменном виде.

4.2. Субъект ПД имеет право на получение информации, касающейся обработки его ПД, в том числе содержащей:
  • подтверждение факта обработки ПД Оператором;
  • правовые основания и цели обработки ПД;
  • цели и применяемые Оператором способы обработки ПД;
  • наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Оператором или на основании федерального закона;
  • обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки ПД, в том числе сроки их хранения;
  • порядок осуществления субъектом ПД прав, предусмотренных Федеральным законом «О персональных данных»;
  • информацию об осуществленной или о предполагаемой трансграничной передаче ПД;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Оператора, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами, касающимися ПД.

4.3. Субъект ПД вправе требовать от Оператора уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.4. Если субъект ПД считает, что Оператор осуществляет обработку его ПД с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект ПД вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов ПД (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — РосКомНадзор) или в судебном порядке.

5. Роли и ответственность.

5.1. Права и обязанности Оператора определяются действующим законодательством и соглашениями Оператора.

5.2. Контроль исполнения требований настоящей Политики осуществляется Оператором в соответствии с должностными инструкциями и иными локальными НПА Оператора.

5.3. Ответственность лиц, участвующих в обработке ПД на основании поручений Оператора, за неправомерное использование ПД устанавливается в соответствии с условиями заключенного между Оператором и контрагентом гражданско-правового договора или Соглашения.

5.4. Лица, виновные в нарушении норм, регулирующих обработку и защиту ПД, несут ответственность в порядке, установленном федеральными законами, локальными актами, соглашениями Оператора.

5.5. Политика вводится в действие после утверждения генеральным директором Оператора. Политика пересматривается и актуализируется по мере необходимости Оператора и соответствующих изменений НПА РФ в области ПД.