Политика обработки персональных данных в ООО “НутриМедикал”
1. Общие положения
1.1. Настоящий документ (далее - Политика) определяет политику в отношении обработки персональных данных Общества с ограниченной ответственностью "НутриМедикал" (далее – Компания).
1.2. Настоящая Политика разработана в соответствии с Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г (далее – Закон о персональных данных)
1.3. Понятия, используемые в настоящей Политике, толкуются согласно их определению в Законе о персональных данных.
1.4. Действие настоящей Политики распространяется на все операции, совершаемые Компанией с персональными данными с использованием средств автоматизации или без их использования.
1.5. Настоящая Политика подлежит актуализации в случае изменения законодательства РФ о персональных данных, а также может быть изменена в любое время по усмотрению Компании. Актуальная текст Политики расположен по адресу: https://nutri-med.ru/index/politika_obrabotki_personalnykh/0-33
1.6. Права и обязанности Компании.
1.6.1. Компания имеет право:
• запрашивать достоверные информацию и/или документы, содержащие персональные данные субъекта персональных данных;
• получать от субъекта персональных уточненные/актуализированную информацию и/или документы, содержащие персональные данные субъекта персональных данных;
1.6.2. Компания обязана:
• обрабатывать персональные данные на законной и справедливой основе и ограничивается достижением конкретных заранее определенных и законных целей;
• рассматривать обращения субъекта персональных данных (его законного представителя) по вопросам обработки персональных данных и давать мотивированные ответы;
• предоставлять субъекту персональных данных (его законному представителю) возможность безвозмездного доступа к его персональным данным;
• не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных (если иное не предусмотрено федеральным законом РФ);
• принимать меры по уточнению персональных данных субъекта персональных данных в связи с его обращением;
• организовывать защиту персональных данных в соответствии с требованиями законодательства РФ;
• прекратить обработку персональных данных в следующих случаях:
o при наступлении условий прекращения обработки персональных данных или по истечении установленных сроков;
o по достижении целей их обработки либо в случае утраты необходимости в достижении этих целей;
o по требованию субъекта персональных данных, если обрабатываемые в Компании персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
o в случае выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки персональных данных невозможно;
o в случае отзыва субъектом персональных данных согласия на обработку его персональных данных или истечения срока действия такого согласия (если персональные данные обрабатываются Компанией исключительно на основании согласия субъекта персональных данных);
o в случае ликвидации Компании.
1.7. Права и обязанности субъектов персональных данных:
1.6.1. Субъекты персональных данных имеют право:
• на уточнение своих персональных данных, их блокирование или уничтожение, получение информации, касающейся обработки их персональных данных;
• на получение у Компании информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами;
• на осуществление иных прав, предусмотренных законодательством РФ;
1.6.2. Субъекты персональных данных обязаны:
• предоставлять Компании только достоверные данные о себе;
• предоставлять документы, содержащие персональные данные в объеме, необходимом для цели обработки;
• сообщать Компании об уточнении (обновлении, изменении) своих персональных данных;
1.6.3. Лица, передавшие Компании недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.
1.7. Компания не осуществляет обработку биометрических персональных данных.
1.8. Компания не осуществляет трансграничную передачу персональных данных.
1.9. Компания не осуществляет обработку персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни
2. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей, а именно:
• заключение с субъектами персональных данных любых договоров и их дальнейшего исполнения;
• проведение Компанией опросов, интервью, тестирований;
• предоставление субъектам персональных данных информации о продуктах компании, в том числе рекламного характера;
• обратная связь с субъектами персональных данных, в том числе обработка их запросов и обращений, информирование о работе информационных ресурсов Компании;
• контроль и улучшение качества информационных ресурсов Компании;
• ведение кадровой работы и организации учета работников Компании, регулирование трудовых и иных, непосредственно связанных с ними отношений;
• привлечение и отбор кандидатов на работу в Компанию;
• формирование регламентированной отчетности в соответствии законодательством РФ;
• участие в процедурах в рамках Федерального закона “О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд" от 05.04.2013 N 44-ФЗ, Федерального закона №223-ФЗ "О закупках товаров, работ, услуг отдельными видами юридических лиц";
• осуществление хозяйственной деятельности;
• осуществление иных функций, полномочий и обязанностей, возложенных на Компанию законодательством РФ;
3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Правовыми основаниями обработки персональных данных Компанией являются:
• Конституция РФ;
• Трудовой кодекс РФ;
• Гражданский кодекс РФ;
• Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
• Закон РФ от 27 декабря 1991 г. N 2124-1 "О средствах массовой информации";
• Федеральный закон от 26 декабря 2008 г. N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля";
• Указ Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера";
• Постановление Правительства Российской Федерации от 06 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных";
• Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
• Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
• Приказ Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных";
• Приказ ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
• уставные документы Компании;
• договоры, заключаемые между Компанией и субъектами персональных данных;
• согласия субъектов персональных данных на обработку персональных данных;
• иные основания, когда согласие на обработку персональных данных не требуется в силу закона;
4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Компания может обрабатывать персональные данные следующих категорий субъектов персональных данных:
1. работники Компании, бывшие работники, кандидаты для приема на работу, а также родственники работников;
2. клиенты и контрагенты Компании (физические лица);
3. представители/работники клиентов и контрагентов Компании (юридических лиц);
4. пользователи сайта Компании (далее - Сайт), в т.ч. прошедшие процедуру регистрации на Сайте;
4.2. К персональным данным, обрабатываемым Компанией в отношении субъектов персональных данных первой, второй и третьей категорий п.4.1, относятся:
• фамилия, имя, отчество (при наличии) субъекта персональных данных;
• паспортные данные (серия, номер, дата выдачи, кем выдан, адрес регистрации);
• номер контактного телефона (при наличии);
• адрес электронной почты (e-mail) (при наличии);
• иная информация (приведенный перечень может сокращаться или расширяться в зависимости от конкретного случая и целей обработки);
4.3. К персональным данным, обрабатываемым Компанией в отношении субъектов персональных данных четвертой категории п.4.1, относятся:
• фамилия, имя, отчество (при наличии) субъекта персональных данных;
• номер контактного телефона (при наличии);
• адрес электронной почты (e-mail) (при наличии);
• адрес доставки и/или пункта самовывоза;
• файлы cookie;
• иная информация (приведенный перечень может сокращаться или расширяться в зависимости от конкретного случая и целей обработки);
4.4. Компания обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.
4.5. Политика обработки файлов cookie оформляется отдельным документом. Актуальный текст политики файлов cookie расположен по адресу: https://nutri-med.ru/index/politika_ispolzovanija_sookie/0-31.
4.6. Политика обработки персональных данных сотрудников Компании регулируется отдельным положением об обработки персональных данных работников.
5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка персональных данных Компанией осуществляется следующими способами:
• неавтоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка персональных данных.
5.2. Перечень действий, совершаемых Компанией с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение, а также осуществление любых иных действий в соответствии с действующим законодательством РФ.
5.3. Обработка персональных данных осуществляется Копанией при условии получения согласия субъекта персональных данных (далее - Согласие), за исключением установленных законодательством РФ случаев, когда обработка персональных данных может осуществляться без такого Согласия.
5.4. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его законным представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
5.6. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия Согласия или отзыв Согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных.
5.7. Согласие может быть отозвано путем письменного уведомления, направленного в адрес Компании заказным почтовым отправлением или в форме электронного документа, подписанного электронной подписью в соответствии с законодательством РФ, на электронную почту Компании.
5.8. Компания при обработке персональных данных принимает или обеспечивает принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.9. Безопасность персональных данных, обрабатываемых Компанией, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.
Для предотвращения несанкционированного доступа к персональным данным Компанией применяются следующие организационно-технические меры:
• назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
• ограничение состава лиц, допущенных к обработке персональных данных;
• ознакомление субъектов с требованиями федерального законодательства и нормативных документов Компании по обработке и защите персональных данных;
• организация учета, хранения и обращения носителей, содержащих информацию с персональными данными;
• определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
• разработка на основе модели угроз системы защиты персональных данных;
• разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
• использование антивирусных средств и средств восстановления системы защиты персональных данных;
• применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
• организация пропускного режима на территорию Компании;
5.10. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, в течение срока не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
5.11. При осуществлении хранения персональных данных Компания использует базы данных, находящиеся на территории РФ.
6. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
6.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат их актуализации Компанией, или их обработка должна быть прекращена соответственно.
6.2. Факт неточности персональных данных или неправомерности их обработки может быть установлен либо субъектом персональных данных, либо компетентными государственными органами РФ.
6.3. По письменному запросу субъекта персональных данных или его представителя Компании обязан сообщить информацию об осуществляемой им обработке персональных данных указанного субъекта. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных и его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Компанией, подпись субъекта персональных данных или его представителя. Письменный запрос должен быть отправлен в адрес Компании заказным почтовым отправлением. Запрос может быть направлен в форме электронного документа, подписанного электронной подписью в соответствии с законодательством РФ, на электронную почту Компании.
6.4. Если в запросе субъекта персональных данных не отражены все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
6.5. В порядке, предусмотренном п. 6.3, субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.6. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных Согласия, персональные данные подлежат уничтожению, если:
• Компания не вправе осуществлять обработку без Согласия субъекта персональных данных;
• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• иное не предусмотрено иным соглашением между Компанией и субъектом персональных данных;
7. ПОРЯДОК РАССМОТРЕНИЯ ЗАПРОСОВ И ОБРАЩЕНИЙ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Субъекты персональных данных, их законные представители могут отправлять запросы и обращения в Компанию:
• в письменном виде по адресу: 107241, г. Москва, Черницынский проезд, д. 3, стр. 1;
• в электронной виде на e-mail: info@nutri-med.ru;
7.2. Ответ на запрос или обращение отправляется в установленной законодательством Российской Федерации форме в течение 30 (тридцати) дней с момента получения запроса (обращения).
8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
8.1. Все отношения, касающиеся обработки персональных данных, не получившие отражения в настоящей Политике, регулируются согласно положениям законодательства РФ.
8.2. Компания имеет право вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией Политики.