Политика обработки персональных данных

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее – Политика) определяет порядок и условия обработки персональных данных в ООО «ИНТЕРИОР СТАЙЛ» (ИНН 9728011445, ОГРН 1207700316427, адрес местонахождения: 119421, г. Москва, пр-кт Ленинский, д. 111, к. 1, эт. 3, пом. 26, оф. 124; почтовый адрес: 115191, г. Москва, пер. Холодильный, д. 3, корп. 1, стр. 2, оф. 2109) как Оператора персональных данных (далее — Оператор).
1.2. Настоящая Политика разработана и применяется в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных») и подлежит опубликованию на официальном сайте Оператора.
1.3. В соответствии с п. 1 ст. 3 Федерального закона «О персональных данных» под персональными данными понимается любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу — субъекту персональных данных. От лица субъекта персональных данных вправе действовать представитель при наличии соответствующих полномочий, которые проверяются Оператором при каждом обращении или запросе.
1.4. Термины и определения, используемые в Политике, употребляются в значении, определённом в ФЗ «О персональных данных».
1.5. Оператор осуществляет обработку персональных данных с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, когда иное допускается ФЗ «О персональных данных».



2. Принципы обработки персональных данных

2.1. Оператор осуществляет обработку персональных данных, исходя из следующих принципов:
2.1.1. Законность целей и способов обработки персональных данных.
2.1.2. Ограничение обработки персональных данных достижением конкретных, заранее определённых и законных целей.
2.1.3. Соответствие содержания и объёма персональных данных заявленной цели обработки без их избыточности.
2.1.4. Недопустимость объединения баз данных, содержащих персональные данные, обрабатываемые для целей, несовместимых между собой.
2.1.5. Точность, достаточность персональных данных, а в необходимых случаях — актуальность по отношению к целям обработки персональных данных.Оператор принимает необходимые меры по удалению или уточнению неполных или неточных данных.
2.1.6. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, в течение срока не больше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
2.1.7. Уничтожение персональных данных по достижению цели их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
2.1.8. Обеспечение конфиденциальности и безопасности персональных данных.


3. Основания обработки персональных данных

3.1. Обработка персональных данных Оператором производится при наличии хотя бы одного основания и может продолжаться до момента, пока не прекратят действие все основания обработки.
3.2. Обработка персональных данных производится в следующих случаях:
3.2.1. С согласия субъекта персональных данных на обработку его персональных данных.
3.2.2. Для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
3.2.3. Для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.
3.2.4. В связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах.
3.2.5. Для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
3.2.6. Для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
3.2.7. Для осуществления прав и законных интересов оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
3.2.8. Для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон “О микрофинансовой деятельности и микрофинансовых организациях”», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
3.2.9. При необходимости обработки персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.


4. Цели обработки персональных данных

4.1. Подготовка, заключение и исполнение гражданско-правового договора.
4.2. Ведение кадрового и бухгалтерского учёта.
4.3. Подбор персонала (соискателей) на вакантные должности Оператора.
4.4. Продвижение товаров, работ, услуг на рынке.
4.5. Обеспечение соблюдения трудового законодательства Российской Федерации.
4.6. Рассмотрение жалоб, претензий, урегулирование споров, участие в судопроизводстве; исполнение запросов уполномоченных государственных органов или должностных лиц и субъектов персональных данных; исполнение судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации.


5. Субъекты персональных данных и категории обрабатываемых персональных данных

5.1. Оператор обрабатывает персональные данные следующих субъектов в следующем объёме персональных данных:
5.1.1. Для достижения цели, указанной в п. 4.1 Политики:
Субъекты: контрагенты; представители контрагентов.
Категории и перечень персональных данных:фамилия, имя, отчество; год, месяц, дата и место рождения; семейное положение; доходы; пол; адрес электронной почты; адрес места жительства и регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; реквизиты банковской карты; номер расчётного счёта; профессия; должность.
5.1.2. Для достижения цели, указанной в п. 4.2 Политики:
Субъекты: работники; родственники работников; уволенные работники.
Категории и перечень персональных данных:фамилия, имя, отчество; год, месяц, дата и место рождения; семейное положение; доходы; пол; адрес электронной почты; адрес места жительства и регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; реквизиты банковской карты; номер расчётного счёта; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчётного счёта организации); отношение к воинской обязанности; сведения о воинском учёте; сведения об образовании; фото- и видеоизображение лица.
Биометрические персональные данные: данные изображения лица, полученные с помощью фото- и видеоустройств, на основании которых можно установить личность субъекта и которые используются оператором для установления личности субъекта персональных данных.
5.1.3. Для достижения цели, указанной в п. 4.3 Политики:
Субъекты: соискатели.
Категории и перечень персональных данных: фамилия, имя, отчество; год, месяц, дата и место рождения; семейное положение; доходы; пол; адрес электронной почты; адрес места жительства и регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; реквизиты банковской карты; номер расчётного счёта; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о текущей занятости с указанием наименования и расчётного счёта организации); отношение к воинской обязанности; сведения о воинском учёте; сведения об образовании; фото- и видеоизображение лица.
Биометрические персональные данные: данные изображения лица, полученные с помощью фото- и видеоустройств, на основании которых можно установить личность субъекта и которые используются оператором для установления личности субъекта персональных данных.
5.1.4. Для достижения цели, указанной в п. 4.4 Политики:
Субъекты: представители контрагентов; клиенты; посетители сайта.
Категории и перечень персональных данных:фамилия, имя, отчество; пол; адрес электронной почты; номер телефона; должность.
5.1.5. Для достижения цели, указанной в п. 4.5 Политики:
Субъекты: работники.
Категории и перечень персональных данных:фамилия, имя, отчество; год, месяц, дата и место рождения; семейное, социальное и имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства и регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа о рождении; реквизиты банковской карты; номер расчётного счёта; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости с указанием наименования и расчётного счёта организации); отношение к воинской обязанности; сведения о воинском учёте; сведения об образовании; фото- и видеоизображение лица.
Биометрические персональные данные: данные изображения лица, полученные с помощью фото- и видеоустройств, на основании которых можно установить личность субъекта и которые используются оператором для установления личности субъекта персональных данных.
5.1.6. Для достижения цели, указанной в п. 4.6 Политики:
Субъекты: иные категории субъектов персональных данных, персональные данные которых обрабатываются; представители истца/ответчика; представители судебных, контролирующих и надзорных органов; органы исполнительной власти и местного самоуправления; должностные лица.
Категории и перечень персональных данных:фамилия, имя, отчество; адрес электронной почты; номер телефона; данные документа, удостоверяющего личность; должность; удостоверение должностного лица.
5.2. Для целей обработки данных Оператор может передавать персональные данные:работникам Оператора;третьим лицам, подписавшим обязательство по обеспечению конфиденциальности и безопасности полученных сведений по поручению Оператора, где должны быть указаны перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки; должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке; также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьёй 19 Федерального закона №152-ФЗ «О персональных данных»;по запросу органов дознания и следствия, суда, органов уголовно-исполнительной системы в связи с расследованием, судебным разбирательством, исполнением наказания или контролем за поведением условно осуждённого лица.
5.3. Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни и биометрических персональных данных.Обработка фотографий в рамках достижения целей, указанных в Политике, не является обработкой биометрических персональных данных в значении ч. 1 ст. 11 Федерального закона «О персональных данных».
5.4. Оператор осуществляет обработку специальных персональных данных о состоянии здоровья работников, которые относятся к вопросу о возможности выполнения трудовой функции (категория годности, инвалидность, временная нетрудоспособность) в пределах, определённых трудовым законодательством Российской Федерации для указанной цели.


6. Порядок обработки персональных данных

6.1. Оператор осуществляет обработку персональных данных следующими способами: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача (доступ, предоставление), обезличивание, блокирование, удаление, уничтожение.
6.2. Оператор осуществляет смешанную, неавтоматизированную и автоматизированную обработку персональных данных.
6.3. Персональные данные могут быть получены от лица, не являющегося субъектом персональных данных, при условии предоставления Оператору подтверждения наличия оснований, предусмотренных настоящей Политикой, а также п. 3 ст. 86 Трудового кодекса Российской Федерации.
6.4. Оператор вправе поручить обработку персональных данных другому юридическому лицу с согласия субъекта персональных данных в письменной форме на основании заключаемого с этим лицом договора, который обязан соответствовать требованиям, указанным в ч. 3 ст. 6 ФЗ «О персональных данных».
6.5. Согласие на обработку персональных данных:
6.5.1. Субъект персональных данных даёт согласие на их обработку свободно, своей волей и в своём интересе. Согласие должно быть конкретным, информированным, сознательным и однозначным в любой форме, позволяющей подтвердить факт его получения Оператором. При получении согласия от представителя субъекта персональных данных полномочия такого представителя проверяются Оператором.
6.5.2. Согласие на обработку персональных данных может быть в любое время отозвано субъектом персональных данных. При этом Оператор вправе продолжить обработку персональных данных без согласия субъекта только при наличии оснований, предусмотренных настоящей Политикой и/или законодательством Российской Федерации. В иных случаях обработка таких персональных данных должна быть прекращена Оператором.
6.5.3. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных даёт законный представитель субъекта персональных данных.
6.5.4. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают его наследники, если оно не было получено ранее при его жизни.
6.6. Оператор не осуществляет трансграничную передачу персональных данных.
6.7. Срок или условие прекращения обработки персональных данных Оператором:достижение целей обработки или утрата необходимости в их достижении;получение отзыва согласия субъекта персональных данных на обработку персональных данных;представление субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;выявление неправомерной обработки персональных данных при обращении субъекта персональных данных или его законного представителя и невозможность обеспечить правомерную обработку;требование субъекта персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для достижения заявленной цели;истечение срока хранения персональных данных, установленного федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;прекращение действия поручения на обработку данных, на основании которого данные обрабатывались;прекращение деятельности Оператора.


7. Обеспечение безопасности персональных данных

7.1. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 18.1 и 19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
7.2. Обеспечение безопасности персональных данных достигается, в частности, посредством:определения угроз безопасности персональных данных при их обработке в информационных системах и потенциальных нарушителей безопасности персональных данных, обрабатываемых в этих системах;определения требуемых уровней защищённости персональных данных, обрабатываемых в информационной системе, и соблюдения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищённости;применения прошедших в установленном порядке процедур оценки соответствия средств защиты информации;оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;разграничения прав доступа сотрудников к базе персональных данных информационной системы;охраны помещений Оператора и ограничения доступа в помещения, где расположены базы персональных данных;обнаружения фактов несанкционированного доступа к персональным данным и принятия мер по исключению повторных случаев такого доступа;восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа;установления прав доступа к персональным данным, обрабатываемым в информационной системе, а также обеспечения регистрации и учёта действий, совершаемых с персональными данными в информационной системе;контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищённости системы персональных данных;назначения лица, ответственного за организацию обработки персональных данных у Оператора.
7.3. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в соответствии с законодательством Российской Федерации.
7.4. Общество имеет право в одностороннем порядке изменять содержание настоящей Политики.Изменения могут вноситься по усмотрению Общества, в том числе, но не ограничиваясь, в случаях, когда они связаны с изменениями применимого законодательства, а также с изменениями в работе сайта Общества.Новая редакция Политики вступает в силу с момента её размещения на соответствующих страницах сайта Общества, если иное не предусмотрено новой редакцией.


8. Обеспечение прав субъекта персональных данных Оператором

8.1. Субъекты персональных данных обладают правами, предусмотренными Федеральным законом «О персональных данных» и другими нормативно-правовыми актами в сфере обработки персональных данных, а Оператор обеспечивает права субъектов персональных данных в порядке, установленном главами 3 и 4 Федерального закона «О персональных данных».
8.2. Субъект персональных данных имеет право:
8.2.1. На доступ к своим персональным данным, который включает:право на получение информации, касающейся обработки его персональных данных, в объёме, предусмотренном ч. 7 ст. 14 Федерального закона «О персональных данных»;право на уточнение и актуализацию персональных данных;право требовать блокирования или уничтожения данных, обрабатываемых с нарушением принципов или оснований обработки, указанных в разделах 2 и 3 настоящей Политики;право отозвать согласие на обработку своих персональных данных.
Право субъекта персональных данных на доступ к его персональным данным предоставляется Оператором на основании обращения или запроса, направленного на почтовый адрес Оператора или по электронной почте pdn@happystudio.design, в порядке, предусмотренном ст. 14 Федерального закона «О персональных данных».
Право на доступ к персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Федерального закона «О персональных данных» и другими федеральными законами, если предоставление доступа нарушает права и законные интересы третьих лиц.
8.2.2. Обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением законодательства Российской Федерации или иным образом нарушает его права и свободы.
8.2.3. Защищать свои права и законные интересы, в том числе на возмещение убытков и (или) компенсацию морального вреда, в судебном порядке.8.3. Обязанности Оператора:
8.3.1. Обеспечить право на доступ субъекта персональных данных:предоставляя субъекту требуемую информацию по его запросу или обращению;уточняя неполные, устаревшие или неточные данные, блокируя их на период проверки, если это не нарушает права и законные интересы субъекта;при выявлении неправомерно обрабатываемых персональных данных — осуществлять их блокирование на период проверки, а затем, если обеспечить правомерность не представляется возможным, уничтожать такие персональные данные;уничтожать незаконно полученные или не соответствующие заявленным целям обработки персональные данные;прекращать обработку персональных данных по достижении заявленных целей обработки и уничтожать их;осуществлять иные действия, предусмотренные законодательством Российской Федерации.
8.3.2. Уведомить субъекта персональных данных о выполнении своих обязанностей, указанных в п. 8.3.1 настоящей Политики.Сроки выполнения этих обязанностей определяются Федеральным законом «О персональных данных» или соглашением с субъектом персональных данных.
8.3.3. При отказе субъекта в предоставлении персональных данных разъяснить ему юридические последствия такого отказа, если предоставление персональных данных является обязательным в соответствии с законодательством Российской Федерации.
8.3.4. Если персональные данные получены не от субъекта персональных данных, по основаниям, отличным от согласия, до начала обработки Оператор обязан предоставить субъекту следующую информацию:наименование либо фамилию, имя, отчество и адрес Оператора или его представителя;цель обработки персональных данных и её правовое основание;перечень обрабатываемых персональных данных;предполагаемых пользователей персональных данных;права субъекта персональных данных, установленные Федеральным законом «О персональных данных»;источник получения персональных данных.
8.3.4.1. Оператор освобождается от обязанности предоставлять субъекту персональных данных сведения, предусмотренные п. 8.3.4 настоящей Политики, если:субъект персональных данных уведомлён об осуществлении обработки его персональных данных соответствующим оператором;персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого является субъект персональных данных;Оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;предоставление субъекту сведений нарушает права и законные интересы третьих лиц;иные случаи, предусмотренные законодательством Российской Федерации.
8.3.5. Назначить лицо, ответственное за организацию обработки персональных данных, которое обязано:осуществлять внутренний контроль за соблюдением Оператором и его работниками законодательства Российской Федерации о персональных данных, включая требования к их защите;доводить до сведения работников Оператора положения законодательства и локальных актов по вопросам обработки и защиты персональных данных;организовывать приём и обработку обращений и запросов субъектов персональных данных или их представителей и (или) контролировать этот процесс.Указанное лицо получает указания непосредственно от Генерального директора и подотчётно ему.
8.3.6. Принимать локальные нормативные акты, определяющие цели обработки персональных данных, категории субъектов, перечень обрабатываемых данных, способы, сроки их обработки и хранения, порядок уничтожения данных, а также процедуры предотвращения и выявления нарушений законодательства Российской Федерации и устранения их последствий.
8.3.7. Осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям законодательства Российской Федерации, Политике и локальным актам Оператора.
8.3.8. Проводить оценку возможного вреда, который может быть причинён субъектам персональных данных в случае нарушения законодательства Российской Федерации, и соотносить его с принимаемыми мерами по обеспечению защиты данных.
8.3.9. Ознакомлять работников Оператора, непосредственно осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных, требованиями к их защите, а также с документами, определяющими Политику Оператора в отношении обработки персональных данных.
8.3.10. При привлечении третьих лиц к обработке персональных данных субъектов получать согласие субъекта персональных данных.
8.3.11. Поддерживать актуальность сведений уведомления, направленного уполномоченному органу по защите прав субъектов персональных данных, в случаях, предусмотренных ст. 22 Федерального закона «О персональных данных».


9. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

9.1. Лица, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
9.2. Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчинёнными.