1. Общие положения

1.1. Настоящее Положение разработано в соответствии с законодательством Российской Федерации о персональных данных (далее по тексту ПДн) и нормативно­методическими документами исполнительных органов государственной власти по вопросам безопасности ПДн при их обработке в информационных системах ПДн (далее — ИСПДн).

1.2. В целях настоящего Положения используются следующие термины:

  • персональные данные (ПДн) любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);
  • оператор
  • обработка ПДн любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;
  • автоматизированная обработка ПДн обработка ПДн с помощью средств вычислительной техники; распространение ПДн действия, направленные на раскрытие ПДн неопределенному кругу лиц;
  • предоставление ПДн действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
  • блокирование ПДн временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
  • уничтожение ПДн действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и /или в результате которых уничтожаются материальные носители ПДн;
  • обезличивание ПДн действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;
  • информационная система персональных данных (ИСПДн) совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;
  • трансграничная передача ПДн передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.3. Настоящее Положение определяет порядок и условия обработки ПДн Оператором.

1.4. Действие настоящего Положения распространяется на все процессы по сбору, систематизации, накоплению, хранению, уточнению, использованию, распространению (в том числе передачу), обезличиванию, блокированию, уничтожению ПДн, осуществляемых с использованием средств автоматизации и без их использования.

1.5. Настоящее Положение вступает в силу с момента его утверждения Оператором и действует бессрочно, до замены его новым Положением.

1.6. Все изменения в Положение вносятся приказом.

1.7. Все работники Оператора должны быть ознакомлены с настоящим Положением под роспись.

2. Цели обработки ПДн

2.1. Основными целями обработки ПДн являются: исполнение договорных обязательств; улучшение рекламных предложений Оператора; надлежащее информирование субъекта ПДн об исполнении заказов; предоставление персонифицированного доступа к личному кабинету на сайте Оператора; выполнение гарантийных обязательств Оператора в пользу субъекта ПДн; предоставление скидок субъекту ПДн.

3. Персональные данные, обрабатываемые в ИСПДн

3.1. В ИСПДн обрабатываются ПДн следующих субъектов ПДн:
3.1.1. клиенты (покупатели товаров Оператора);

3.2. Данный перечень может пересматриваться по мере необходимости.

3.3. Персональные данные субъектов ПДн включают:
ФИО, номер телефона, e-mail адрес, адрес доставки товара.

4. Доступ к ПДн

4.1. Сотрудники Оператора, которые в силу выполняемых служебных обязанностей постоянно работают с ПДн, получают допуск к необходимым категориям ПДн на срок выполнения ими соответствующих должностных обязанностей на основании перечня лиц, допущенных к работе с ПДн, который утверждается Руководителем Оператора.

4.2. Оператором установлен разрешительный порядок доступа к ПДн. Сотрудникам Оператора предоставляется доступ к работе с ПДн исключительно в пределах и объеме, необходимых для выполнения ими своих должностных обязанностей на основании решения Руководителя

4.5. Оператор ПДн вправе привлекать третьих лиц для обработки персональных данных во исполнение договоров, заключенных с субъектом ПДн. Данные субъекты будут являться обработчиками ПДн и несут ответственность перед Оператором.

4.6. Ответственность перед субъектом ПДн за действия обработчика несет Оператор.

4.7. Доступ сотрудника Оператора к ПДн прекращается с даты, прекращения трудовых отношений, либо даты изменения должностных обязанностей сотрудника и/или исключения сотрудника из списка лиц, имеющих право доступа к ПДн. В случае увольнения все носители, содержащие ПДн, которые в соответствии с должностными обязанностями находились в распоряжении работника во время работы, должны быть переданы соответствующему должностному лицу.

5. Основные требования по защите ПДн

5.1. При обработке ПДн в информационной системе должно быть обеспечено:
а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и/или передачи их лицам, не имеющим права доступа к такой информации;
б) своевременное обнаружение фактов несанкционированного доступа к ПДн;
в) недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
г) возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

5.2. Оператор обязан принимать необходимые правовые, организационные, технические и другие меры для обеспечения безопасности ПДн.

5.3. Сотрудники обязаны незамедлительно сообщать соответствующему должностному лицу Оператора об утрате или недостаче носителей информации, составляющей ПДн, а также о причинах и условиях возможной утечки ПДн. В случае попытки посторонних лиц получить от сотрудника ПДн, обрабатываемых Оператором незамедлительно известить об этом соответствующее должностное лицо

6. Согласие на обработку ПДн

6.1. Субъект ПДн принимает решение о предоставлении своих ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе.

6.2. Согласие Субъекта ПДн выражается путем:

6.3. Представление согласия, путем подписи документа простой электронной подписью при заказе товара с регистрацией.

6.4. Путем совершения конклюдентных действий и принятием условий Использования сайта и/или Публичной Оферты, изложенных на сайте triholog.org

6.5. Заключения договора с Оператором.

7. Права субъекта в отношении ПДн, обрабатываемых оператором

7.1. Субъект ПДн имеет право:

  • на получение информации от Оператора, касающейся обработки его ПДн. Сведения должны быть предоставлены субъекту ПДн Оператором в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн
  • требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством РФ меры по защите своих прав;
  • обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке. (ст. 17 закона)
  • отзывать свое согласие на обработку ПДн, способами, установленным пунктом 7.2 настоящего Положения.
  • осуществлять иные права, данные субъекту законодательством о персональных данных.

7.2. Способы отзыва согласия на обработку ПДн:
7.2.1. Отправление электронного сообщения с заявлением на отзыв согласия на обработку ПДн по адресу: Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.
7.2.2. Почтовое отправление с заявлением на отзыв согласия на обработку ПДн по адресу: г. Санкт-Петербург, наб. Обводного канала д. 108.

8. Права и обязанности оператора ИСПДн

8.1. Оператор ИСПДн вправе:
8.1.1. Поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
8.1.2. В случае отзыва субъектом ПДн согласия на обработку ПДн, продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в законодательстве РФ. (ч.2 ст.9 закона).
8.1.3. Отказать субъекту ПДн в выполнении повторного запроса сведений, не соответствующего условиям, предусмотренным законодательством РФ. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе. (ч.6 ст.14 закона).
8.1.4. Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей Оператора ИСПДН, предусмотренных законодательством РФ. (ч.1 ст.18.1 закона)

8.2. Оператор ИСПДн обязан:
8.2.1. До начала осуществления трансграничной передачи ПДн убедиться в том, что иностранным государством, на территорию которого осуществляется передача ПДн, обеспечивается адекватная защита прав субъектов ПДн.
8.2.2. Прекратить по требованию субъекта ПДн обработку его ПДн, в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации.
8.2.3. Разъяснить субъекту ПДн порядок принятия решения на основании исключительно автоматизированной обработки его ПДн и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом ПДн своих прав и законных интересов. Оператор обязан рассмотреть возражение, в течение тридцати дней со дня его получения и уведомить субъекта ПДн о результатах рассмотрения такого возражения.
8.2.4. Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей Оператора ИСПДН, предусмотренных законодательством РФ.
8.2.5. Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн.
8.2.6. При обработке ПДн принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
8.2.7. Сообщить в порядке, предусмотренном законодательством РФ, субъекту ПДн или его представителю информацию безвозмездно о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя либо в течение тридцати дней с даты получения запроса субъекта ПДн или его представителя.
8.2.8. В срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие ПДн. Оператор обязан уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.
8.2.9. В случае выявления неправомерной обработки ПДн, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Оператора. В случае если обеспечить правомерность обработки ПДн невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязан уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Оператор обязан уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.
8.2.10. В случае достижения цели обработки ПДн Оператор обязан прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн, иным соглашением между Оператором и субъектом ПДн либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных законодательством РФ.
8.2.11. В случае отзыва субъектом ПДн согласия на обработку его ПДн, прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между оператором и субъектом ПДн либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных законодательством РФ.

9. Порядок обработки и защиты ПДн

9.1. Обеспечение конфиденциальности ПДн, обрабатывающихся Оператором, является обязательным требованием для всех лиц, которым ПДн стали известны.

9.2. Сотрудники Оператора, осуществляющие оформление документов, обязаны получать в установленных случаях согласие субъектов ПДн на обработку.

9.3. В случае нарушения установленного порядка обработки ПДн сотрудники Оператора несут ответственность в соответствии с разделом 9 настоящего Положения.

9.4. Случаи уничтожения, блокирования и уточнения ПДн:

9.5. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

9.6. Уточнение ПДн при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными ПДн.

9.7. Уничтожение носителей, содержащих ПДн, осуществляется в следующем порядке:
9.7.1. ПДн на бумажных носителях уничтожаются путем использования шредеры (уничтожители документов), установленного в офисе Оператора.
9.7.2. ПДн, размещенные в памяти ПЭВМ уничтожаются путем удаления её из памяти ПЭВМ.
9.7.3. ПДн, размещенные на флеш­карте, CD­диске, ином носителе информации уничтожаются путем удаления файла с носителя, при необходимости путем нарушения работоспособности флеш­карты или CD­диска.

10. Ответственность за нарушение настоящего положения

10.1. Руководство Оператора несет ответственность за необеспечение конфиденциальности ПДн и несоблюдение прав и свобод субъектов ПДн в отношении их ПДн.

10.2. Сотрудники Оператора несут персональную ответственность за несоблюдение требований по обработке и обеспечению безопасности ПДн, установленных настоящим Положением, в соответствии с законодательством Российской Федерации.

10.3. Сотрудник Оператора может быть привлечен к ответственности в случаях:
10.3.1. Умышленного или неосторожного раскрытия ПДн
10.3.2. Утраты материальных носителей ПДн;
10.3.3. Нарушения требований настоящего Положения и других нормативных документов Оператора в части вопросов доступа и работы с ПДн

10.4. В случаях нарушения установленного порядка обработки и обеспечения безопасности ПДн, несанкционированного доступа к ПДн, раскрытия ПДн и нанесения Оператору, его сотрудникам, клиентам и контрагентам материального или иного ущерба виновные лица несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.