Адрес доставки

ПОЛОЖЕНИЕ о порядке обработки и обеспечения безопасности персональных данных в ООО «ДЕЛИВЕРИ КЛАБ»

1. ВВЕДЕНИЕ

1.1. Целью данного Положения является защита персональных данных субъектов, персональных данных Общества от несанкционированного доступа, неправомерного использования или утраты.

1.1.1. В настоящем Положении приведены характеристики процессов обработки персональных данных, осуществляемых в ООО «ДЕЛИВЕРИ КЛАБ» (далее –«Общество») включая:

  1. цели обработки персональных данных;
  2. объёмы обрабатываемых персональных данных;
  3. субъекты, персональные данные которых обрабатываются;
  4. виды обрабатываемых персональных данных;
  5. основания обработки персональных данных;
  6. лица, осуществляющие обработку ПДн.

1.1.2. Также в настоящем Положении приведены описания мероприятий, выполняемых Обществом в целях:

  1. соблюдения требований законодательства Российской Федерации в области обработки и защиты персональных данных, а также органов власти, имеющих отношение к регулированию области обработки и защиты персональных данных: Роскомнадзор, ФСБ России, ФСТЭК России;
  2. обеспечения безопасности обрабатываемых персональных данных;
  3. соблюдения законных прав субъектов персональных данных.

1.2. Положение разработано с учётом законодательных актов, приведённых в разделе «3. Нормативные ссылки».

1.3. Термины, сокращения и определения, используемые в настоящем Положении, приведены в разделе «2. Термины, определения и сокращения».

2. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ

2.1. В настоящем Положении используются следующие термины:

  1. персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту ПДн);
  2. оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных,состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящего Положения Оператором признается Общество;
  3. обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;
  4. автоматизированная обработка персональных данных - обработка ПДн с помощью средств вычислительной техники;
  5. использование персональных данных - действия (операции) с ПДн, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта ПДн или других лиц либо иным образом, затрагивающих права и свободы субъекта ПДн или других лиц;
  6. блокирование персональных данных - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
  7. уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн;
  8. обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;
  9. трансграничная передача персональных данных – передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, иных иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн, а также государств в случае, если это необходимо для исполнения договора, стороной которого является субъект персональных данных
  10. информационная система персональных данных (далее – ИСПДн) - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;
  11. конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определённой информации, требование не передавать такую информацию третьим лицам без согласия её обладателя;
  12. типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности ПДн;
  13. роль - заранее определённая совокупность правил, устанавливающих допустимое взаимодействие между субъектом и объектом;
  14. Ответственный за обеспечение безопасности ПДн – работник Общества, назначаемый приказом Генерального директора Общества и несущий ответственность за выполнение процедур, связанных с обеспечением безопасности обрабатываемых ПДн в Обществе.
  15. Ответственный за кадровое делопроизводство –– уполномоченный сотрудник Департамента по персоналу Общества.

2.2. В данном Положении используются следующие сокращения:

  1. 152-ФЗ – Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных» (ред. от 25.07.2011г.);
  2. Общество – ООО «ДЕЛИВЕРИ КЛАБ»;
  3. ИБ – информационная безопасность;
  4. ИСПДн – информационная система ПДн;
  5. КоАП РФ – кодекс РФ об административных нарушениях;
  6. ПДн – персональные данные;
  7. Роскомнадзор – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций;
  8. СЗПДн – системы защиты ПДн;
  9. УК РФ – Уголовный кодекс РФ;
  10. ФЗ – Федеральный закон;
  11. ФСБ России – Федеральная служба безопасности РФ;
  12. ФСТЭК России – Федеральная служба по техническому и экспортному контролю РФ;
  13. ФИО – Фамилия, имя, отчество;
  14. ЦОД – центр обработки данных.

3. НОРМАТИВНЫЕ ССЫЛКИ

3.1. При разработке настоящего Положения использованы следующие законодательные акты:

  1. 3.1.1. ФЗ РФ от 27 июля 2006 года и № 152-ФЗ «О персональных данных» (ред. от 25.07.2011г.);
  2. 3.1.2. Постановление Правительства от 17 ноября 2007 года РФ №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
  3. 3.1.3. Постановление Правительства от 15 сентября 2008 года №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации»;
  4. 3.1.4. Постановление Правительства РФ от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
  5. 3.1.5. Приказ ФСТЭК России, ФСБ России, Министерства информационных технологий и связи РФ от 13 февраля 2008 г. N 55/86/20 г. Москва «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
  6. 3.1.6. «Кодекс РФ об административных правонарушениях» от 30 декабря 2001 г. № 195-ФЗ (с изменениями и дополнениями);
  7. 3.1.7. «Уголовный кодекс РФ» от 13 июня 1996 г. № 63-ФЗ (с изменениями и дополнениями).

4. ОБЩИЕ ПОЛОЖЕНИЯ

4.1. Общество является оператором ПДн.

4.2. Обработка ПДн в Обществе осуществляется в смешанном режиме, как с использованием средств автоматизации, так и без использования средств автоматизации.

4.3. Виды обрабатываемых ПДн, субъекты, которым принадлежат обрабатываемые ПДн, а также цели обработки ПДн, приведены в Приложениях к настоящему Положению.

4.4. При обработке ПДн Общество руководствуется принципами:

  1. 4.4.1. обеспечения законности целей и способов обработки ПДн;
  2. 4.4.2. соответствия целей обработки ПДн целям, заранее определённым и заявленным при сборе ПДн;
  3. 4.4.3. соответствия объема и характера обрабатываемых ПДн, а также способов обработки ПДн целям обработки ПДн;
  4. 4.4.4. отсутствия избыточных ПДн по отношению к заявленным при сборе ПДн целям;
  5. 4.4.5. использования раздельных баз данных ИСПДн для несовместных целей обработки ПДн.

4.5. Общество не осуществляет обработку специальных категорий ПДн.

4.6. Общество не осуществляет обработку биометрических ПДн.

4.7. Общество вправе осуществлять трансграничную передачу ПДн пользователей интернет-сервиса третьим лицам с соблюдением требований 152-ФЗ и Политики конфиденциальности Общества.

4.8. Настоящее Положение утверждается и вводится в действие приказом Генерального директора Обществе, или лицом, исполняющим обязанности Генерального директора, и является обязательным для исполнения всеми работниками, в состав должностных обязанностей которых входит обработка персональных данных.

4.9. Сотрудники Обществе должны быть ознакомлены под роспись с настоящим Положением и другими документами Обществе, устанавливающими порядок обработки персональных данных субъектов ПДн, а также об их правах и обязанностях в этой области. Работа по ознакомлению возлагается на Ответственного за кадровое делопроизводство.

4.10 Ответственным за актуализацию настоящего Положения является Ответственный за обеспечение безопасности ПДн в Обществе.

5. ОСНОВАНИЯ ОБРАБОТКИ ПДН

5.1. Общество осуществляет обработку ПДн на основании:

  1. 5.1.1. требований Федеральных законов, в которых установлена цель обработки ПДн, условия получения ПДн и круг субъектов, ПДн которых подлежат обработке, а также определены полномочия оператора;
  2. 5.1.2. договоров, определяющих цели обработки ПДн, одной из сторон которых является субъект ПДн (в роли субъектов ПДн в данном случае выступают работники Общества).

5.2. Полный перечень целей и оснований обработки ПДн приведены в Приложении №2 к настоящему Положению.

6. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Обработка ПДн в Обществе должна осуществляться с учетом требований, указанных в пунктах 6.1.1-6.1.6. настоящего Положения.

  1. 6.1.1. Обработка ПДн субъектов ПДн должна осуществляться с соблюдением требований Федерального закона 152-ФЗ «О защите персональных данных», а также требований постановления Правительства от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации» и иных нормативных правовых актов.
  2. 6.1.2. При определении объёма и содержания обрабатываемых ПДн субъектов ПДн Общество обязано руководствоваться Конституцией Российской Федерации и иными Федеральными законами.
  3. 6.1.3. ПДн следует получать у самого субъекта ПДн. Если ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлён об этом заранее и от него должно быть получено письменное согласие. Общество обязано сообщить субъекту ПДн о целях обработки ПДн, о правовом основании, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению ПДн и последствиях отказа субъекта ПДн дать письменное согласие на их получение. Общество освобождается от обязанности предоставлять субъекту ПДн перечисленные сведения, в случаях, если субъект ПДн уведомлён об осуществлении обработки его персональных данных Обществом, ПДн получены Обществом на основании Федерального закона или в связи с исполнением договора, стороной которого является субъект ПДн, ПДн являются общедоступными или получены из общедоступного источника.
  4. 6.1.4. Общество не имеет права получать и обрабатывать ПДн субъекта ПДн о его политических, религиозных, иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами договорных отношений, данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны Обществом только с его письменного согласия.
  5. 6.1.5. Общество не имеет право получать и обрабатывать ПДн субъекта ПДн о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Федеральным законом.
  6. 6.1.6. Общество не имеет право запрашивать информацию о состоянии здоровья субъекта ПДн, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

6.2. Специально уполномоченные лица осуществляют обработку Пдн субъектов ПДн в объёмах и целях, предусмотренных законодательством Российской Федерации и нормативными документами Общества, а также обеспечивают их защиту от неправомерного использования, утраты и несанкционированного уничтожения.

6.3. Состав специально уполномоченных лиц, допущенных к ПДн, и объем ПДн, к которым они допускаются, утверждается приказом Генерального директора Общества, или лицом, исполняющим обязанности Генерального директора Общества.

6.4. При принятии решений, затрагивающих интересы субъекта ПДн, Общество не имеет права основываться на персональных данных субъекта ПДн, полученных исключительно в результате их автоматизированной обработки или электронного получения, в том числе на цифровых носителях, кроме согласия субъекта ПДн в письменной форме.

6.5. Защита персональных данных субъектов ПДн от неправомерного их использования или утраты обеспечивается Обществом за счёт собственных средств в порядке, установленном действующим законодательством РФ в области защиты ПДн.

6.6. Общество осуществляет реагирование на запросы/обращения Субъектов ПДн и их представителей, а также уполномоченных органов в соответствии с регламентами взаимодействия, предусмотренными локальными актами Общества. Формы запросов/обращений указанных субъектов по поводу неточности ПДн, неправомерности их обработки, отзыва согласия и доступа Субъекта ПДн к своим данным установлены локальными актами Общества. 

6.7. При обработке ПДн должны быть приняты все необходимые организационные и технические меры по обеспечению их конфиденциальности в соответствии с действующим законодательством РФ в области защиты ПДн.

6.8. ПДн хранятся:

  1. в электронном виде (на серверах, входящих в состав ИСПДн) с соблюдением всех требований по их конфиденциальности (информационной безопасности);
  2. на бумажных носителях - в запираемых шкафах и несгораемых сейфах соответствующих подразделений Общества с соблюдением их конфиденциальности.

7. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПДН ТРЕТЬИМ ЛИЦАМ

7.1. Общество вправе поручить обработку ПДн третьему лицу с согласия субъекта ПДн, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку ПДн по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные действующим законодательством РФ в области защиты персональных данных. В поручении Общества должны быть определены действия (операции) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а также цели обработки ПДн. В поручении Общества должно быть указано положение об обязанности такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с действующим законодательством РФ в области защиты персональных данных.

7.2. При передаче персональных данных субъекта ПДн Общество обязано соблюдать следующие требования:

  1. 7.2.1. не сообщать персональные данные субъектов ПДн третьей стороне без согласия субъекта ПДн, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Положением или Федеральными законами;
  2. 7.2.2. предупредить лиц, получающих персональные данные субъекта ПДн, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъектов ПДн, обязаны соблюдать режим секретности (конфиденциальности).

7.3. Третье лицо, осуществляющее обработку ПДн по поручению Общества, не обязано получать согласие субъекта ПДн на обработку его персональных данных.

7.4. Общество несёт ответственность перед субъектом ПДн за действия третьего лица, осуществляющего обработку ПДн по поручению Общества. В свою очередь, указанное третье лицо несёт ответственность перед Обществом.

8. ОРГАНИЗАЦИЯ ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ

8.1. Защита персональных данных в Обществе предусматривает ограничение к ним доступа.

8.2. Доступ к персональным данным разрешается только специально уполномоченным работникам структурных подразделений Общества. При этом указанные лица имеют право получать только те ПДн, которые необходимы для выполнения конкретных функций, и в целях, для которых они сообщены.

8.3. Руководитель структурного подразделения Общества, осуществляющего обработку ПДн:

  1. 8.3.1. несёт ответственность за организацию защиты ПДн в структурном подразделении;
  2. 8.3.2. закрепляет за работниками, уполномоченными обрабатывать ПДн, конкретные массивы носителей с персональными данными, которые необходимы для выполнения возложенных на них функций;
  3. 8.3.3. организует изучение уполномоченными работниками нормативных документов по защите ПДн и требует их неукоснительного исполнения;
  4. 8.3.4. обеспечивает режим конфиденциальности в отношении ПДн, обрабатываемых в структурном подразделении;
  5. 8.3.5. организует контроль доступа к ПДн в соответствии с функциональными обязанностями того или иного работника подразделения.

8.4. Доступ представителей государственных органов к ПДн определяется в соответствии с локальными актами, утверждённым в Обществе.

9. ОБЯЗАННОСТИ ЛИЦ, ДОПУЩЕННЫХ К ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Лица, допущенные к работе с персональными данными, обязаны:

  1. 9.1.2. ознакомиться с нормативными документами по защите ПДн, утверждёнными в Обществе, и соблюдать установленные в них требования по защите ПДн;
  2. 9.1.3. обеспечивать сохранность закреплённого массива носителей с персональными данными, исключать возможность ознакомления с ними третьих лиц;
  3. 9.1.4. докладывать своему непосредственному руководителю и Ответственному за обеспечение безопасности ПДн обо всех фактах и попытках несанкционированного доступа к ПДн.

9.2. Порядок хранения персональных данных описан во внутреннем нормативном документе Общества «Правила хранения ПДн».

10. СОБЛЮДЕНИЕ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. При обработке ПДн Общество соблюдает права субъектов персональных данных и выполняет обязанности Оператора, предусмотренные законодательством РФ о ПДн. В частности, Общество соблюдает сроки обработки ПДн, предусмотренные нормативными правовыми документами и локальными актами Общества.

10.2. В случае подтверждения факта неточности ПДн или неправомерности их обработки ПДн подлежат их актуализации Обществом.

10.3. При достижении целей обработки ПДн, а также в случае отзыва субъектом персональных данных согласия на их обработку ПДн подлежат уничтожению Обществом, если иное не предусмотрено федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

10.4. В случае выявления неправомерной обработки ПДн они подлежат уничтожению Обществом в порядке, предусмотренном законодательством РФ о персональных данных.

10.5. В случае соответствующего обращения субъекта ПДн Общество:

  1. 10.5.1. осуществляет идентификацию субъекта ПДн;
  2. 10.5.2. устанавливает факт обработки персональных данных субъекта ПДн;
  3. 10.5.3. предоставляет субъекту ПДн возможность ознакомления с полной информацией о его персональных данных, обрабатываемых в Обществе;
  4. 10.5.4. вносит изменения, уничтожает или блокирует ПДн субъекта при предоставлении им сведений, подтверждающих, что обрабатываемые ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации, Федерального закона №152-ФЗ или иных нормативных актов;
  5. 10.5.5. извещает всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта ПДн обо всех произведённых в них исключениях, исправлениях или дополнениях;
  6. 10.5.6. уведомляет субъекта ПДн о результатах запрашиваемых субъектом действий.

10.6. Порядок взаимодействия с субъектами ПДн (или их законными представителями) описан во внутреннем нормативном документе Общества «Регламент взаимодействия с субъектами ПДн».

11. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Общество обеспечивает конфиденциальность ПДн при их обработке.

11.2. В целях обеспечения безопасности ПДн при их обработке в Обществе реализованы следующие мероприятия:

  1. 11.2.1. определен порядок соблюдения всех требований действующего законодательства по обработке и защите ПДн в рамках деятельности Общества;
  2. 11.2.2. назначен уполномоченный сотрудник, ответственный за организацию обработки и обеспечение безопасности ПДн при их обработке в Обществе;
  3. 11.2.3. осуществляется ограничение доступа в помещения, в которых хранятся материальные носители ПДн;
  4. 11.2.4. ведётся список сотрудников, обладающих доступом к материальным носителям ПДн;
  5. 11.2.5. разработан и донесен до сведения работников Общества «Регламент взаимодействия с субъектами персональных данных»;
  6. 11.2.6. проведены мероприятия по внедрению СЗПДн;
  7. 11.2.7. используются сертифицированные средства защиты информации в составе СЗПДн;
  8. 11.2.8. разработаны регламенты эксплуатации средств защиты информации в составе СЗПДн;
  9. 11.2.9. разрабатывается на периодической основе и выполняется внутренний план проведения проверок по соблюдению требований обеспечения безопасности ПДн при их неавтоматизированной обработке в соответствии с «Положением об ответственном за обеспечение безопасности ПДн».

11.3. Права и обязанности Ответственного за обеспечение безопасности ПДн, а также требования к содержанию и порядку составления внутреннего плана проведения проверок по соблюдению требований обеспечения безопасности ПДн определены во внутреннем нормативном документе Общества «Положение об ответственном за обеспечение безопасности ПДн».

12. КОНТРОЛЬ И НАДЗОР ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

12.1. Порядок взаимодействия Общества с органами, уполномоченными осуществлять контроль и надзор за обработкой ПДн, описан во внутреннем нормативном документе Общества «Регламент взаимодействия с регулирующими организациями».

Редакция от 10.12.2020