Политика обработки персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ:

1.1. Назначение и область действия.
1.1.1. Настоящая Политика определяет общие принципы обработки персональных данных и содержит сведения о реализуемых требованиях к защите персональных данных в Nanda Devi shop. Целью принятия Политики является обеспечение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.1.2. Действие Политики распространяется на Головной офис и подразделения сети Nanda Devi shop. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в  сети с применением средств автоматизации и без применения таких средств.
1.1.3. Политика обработки и обеспечения безопасности персональных данных в сети (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», другими законодательными и нормативными правовыми актами (далее –
законодательство), определяющими порядок работы с персональными данными и требования к обеспечению их безопасности.
1.1.4. Политика подлежит пересмотру и актуализации с периодичностью не реже 1 (одного) раза в 3 (три) года или при изменении законодательства.
Поддержание в актуальном состоянии Политики обеспечивает Департамент информационной безопасности.
1.1.5. К настоящей Политике предоставляется неограниченный доступ любому лицу, желающему с ней ознакомиться.
1.1.6. Настоящая Политика размещается на официальном сайте Nanda Devi shop в сети Интернет, а также в доступном для посетителей месте в каждом из офисов розничной сети, в которых производится обслуживание клиентов.

1.2. Термины и определения:

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
база персональных данных –упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных);
Розничная сеть – Nanda Devi shop, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; блокирование персональных данных– временное прекращение обработки
персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); информационная система
персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Конфиденциальность персональных данных – обязательное для соблюдения Сети или иным, получившим доступ к персональным данным лицом, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством; Обезличивание персональных данных – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональны хданных); предоставление персональных данных – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределённому кругу лиц; субъект персональных данных –физическое лицо, к которому относятся персональные данные; трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу; уничтожение персональных данных –действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.

2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ:

2.1. Обработка персональных данных в Nanda Devi shop осуществляется на основе принципов:
─ законности и справедливой основы;
─ ограничения обработки персональных данных достижением конкретных, заранее определённых и законных целей;
─ недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
─ недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
─ соответствия содержания и объёма обрабатываемых персональных данных заявленным целям обработки;
─ недопущения обработки избыточных персональных данных по отношению к заявленным целям их обработки;
─ обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
─ хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели
обработки персональных данных, если срок хранения персональных данных не установлен законодательством, договором, стороной которого,
выгодоприобретателем или поручителем по которому является субъект персональных данных;
─ уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении
этих целей, при невозможности устранения Сети допущенных нарушений персональных данных, в случае отзыва субъектом своего согласия на обработку персональных данных, если иное не предусмотрено законодательством или договором, стороной которого, выгодоприобретателем или
поручителем по которому является
субъект персональных данных.
2.2. Все персональные данные при их сборе записываются в базы данных, находящиеся на территории Российской Федерации, в которых происходит также при необходимости их уточнение, изменение или обновление, а также извлечение для последующей трансграничной передачи персональных данных.
2.3. Обработка персональных данных в Nanda Devi shop допускается в следующих случаях:
─ обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
─ обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или
законом, для осуществления и выполнения возложенных законодательством на сеть функций,полномочий и обязанностей;
─ обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством об исполнительном производстве;
─ обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации сети  своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или
поручителем;
─ обработка персональных данных
необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
─ обработка персональных данных необходима для осуществления прав и законных интересов Сети или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы
субъекта персональных данных;
─ осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
─ осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством.
2.4. Nanda Devi shop не раскрывает персональные данные субъекта третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством.
2.5. Nanda Devi shop поручает обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора поручения обработки персональных данных. Лицо,
осуществляющее обработку персональных данных по поручению Nanda Devi shop, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных».
В случае, если Nanda Devi shop поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Сеть. Лицо, осуществляющее обработку персональных данных по поручению Сети, несет ответственность перед Nanda Devi shop.

2.6. Nanda Devi shop не обрабатываются персональные данные, относящиеся к специальным категориям:

  • расовая принадлежность;
  • национальная принадлежность;
  • политические взгляды;
  • религиозные или философские убеждения;
  • состояния здоровья (за исключением данных о состоянии здоровья работников Nanda Devi shop в случаях, предусмотренных Трудовым кодексом Российской Федерации);
  • интимная жизнь; а также иные персональные данные о частной жизни, о членстве субъектов персональных данных в общественных
    объединениях или их профсоюзной деятельности.

Обработка указанных категорий персональных данных допускается в случаях, если:

  • она прямо предусмотрена законодательством;
  •  субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
  • персональные данные являются общедоступными.

2.7. Обработка персональных данных может осуществляться сетью исключительно в случаях и в порядке, определяемых законодательством.
2.8. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность -биометрические персональные данные — обрабатываются сетью только при наличии согласия субъекта в письменной форме или в случае, когда такая обработка предусмотрена законодательством, в том числе законодательством о порядке выезда из Российской Федерации и въезда
в Российскую Федерацию.
2.9. Создание фото- и видео- изображений производится сетью с целью контроля соблюдения законности и правопорядка, а также предотвращения противоправных действий, экстремистских проявлений и террористических актов, и последующей передачи в правоохранительные органы в случае необходимости. Указанные фото- и видео- изображения не используются с целью идентификации субъектов персональных данных и не рассматриваются Сетью как биометрические персональные данные.

3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБЕСПЕЧИВАЕМЫЕ СЕТЬЮ

3.1. Субъект персональных данных (здесь и далее по тексту под субъектом персональных данных понимается как сам субъект персональных данных, так и его законный представитель: родитель, опекун, попечитель и иные лица, полномочия которых установлены законодательством Российской Федерации) принимает решение о предоставлении его персональных данных и даёт Сети согласие на их обработку Сети свободно, своей волей и в своём интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований на
обработку, предусмотренных законодательством, возлагается на Сеть.
3.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с законодательством. Субъект персональных данных вправе требовать от Сети уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством меры по защите своих прав.
3.3. Обработка Nanda Devi shop персональных данных в целях продвижения товаров, работ, услуг на рынке путём осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных.
Сеть обязана немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в вышеуказанных целях.
3.4. В сети запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за
исключением случаев, предусмотренных законодательством, или при наличии согласия в письменной форме субъекта персональных данных.
3.5. Если субъект персональных данных считает, что Сеть осуществляет обработку его персональных данных с нарушением требований законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Сети в Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

4. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Безопасность персональных данных, обрабатываемых Сетью, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований федерального законодательства в области защиты персональных данных, выявлением и предотвращением инцидентов, связанных с неправомерным доступом к персональными данными и неправомерных действий с ними.
4.2. Для целенаправленного создания в Nanda Devi shop неблагоприятных условий и труднопреодолимых препятствий для нарушителей, пытающихся осуществить несанкционированный доступ к персональным данным в целях их получения, модификации, блокирования, уничтожения, заражения вредоносным программным кодом и совершения иных несанкционированных действий, Банком применяются следующие организационно-технические меры:

  • назначение должностных лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных;
  • ограничение состава работников, обрабатывающих персональные данные и имеющих доступ к персональным данным при выполнении своих трудовых обязанностей, регламентация порядка предоставления такого доступа;
  • ознакомление работников с требованиями законодательства и внутренних нормативных документов сети по обработке и защите персональных данных;
  • обеспечение учёта и хранения материальных носителей персональных данных и установление порядка обращения с ними, направленного на предотвращение их хищения, подмены, несанкционированного копирования и уничтожения;
  • определение угроз безопасности персональным данным при их обработке, формирование на их основе частных моделей угроз и постоянное поддержание их актуальности;
  • разработка на основе модели угроз системы защиты персональных данных для соответствующего уровня защищенности персональных данных;
  • регулярная проверка готовности и эффективности используемых средств защиты информации;
  • реализация разрешительной системы доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;
  • парольная защита доступа пользователей к информационной системе персональных данных;
  • регистрация и учёт действий  пользователей информационных систем персональных данных;
  • применение средств контроля доступа к коммуникационным портам, устройствам ввода-вывода информации, съёмным машинным носителям и внешним накопителям информации;
  • применение в необходимых случаях средств криптографической защиты информации для обеспечения безопасности персональных данных при передаче по открытым каналам связи и хранении на машинных носителях информации;
  • осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ и программных закладок;
  • применение межсетевого экранирования;
  • обнаружение вторжений в корпоративную сеть Nanda Devi shop, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
  • анализ защищённости информационных систем персональных данных Сети с применением специализированных программных средств (сканеров безопасности);
  • централизованное управление системой защиты персональных данных;
  • резервное копирование информации;
  • обеспечение восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • обучение работников, использующих средства защиты информации, применяемые в информационных системах персональных данных, правилам работы с ними;
  • учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним, машинных носителей персональных данных;
  • использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия требованиям по безопасности;
  • систематическое проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных;
  • размещение технических средств обработки персональных данных в пределах охраняемой территории;
  • поддержание технических средств охраны, сигнализации помещений в состоянии постоянной готовности, ведение видео наблюдения.

5. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

5.1. Иные права и обязанности Nanda Devi shop, связанные с обработкой им персональных данных, определяются законодательством в области персональных данных.
5.2. Должностные лица Сети, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую и уголовную ответственность в порядке, установленном законодательством и
внутренними нормативными документами Сети.

Заказать звонок

×