1. Общие положения.
1.1. Положение о защите персональных данных (дале – «Положение») Общества с ограниченной ответственностью «ЕВРОПОС ГРУПП» (далее – «Общество» / «Оператор») разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ и иными нормативно-правовыми законодательными актами в области защиты персональных данных (далее –«ПДн») действующим на территории Российской Федерации.
1.2. Положение регламентирует порядок обращения Оператора с ПДн, а также определяет основные меры по обеспечению их защиты.
1.3. Основная цель Положения — обеспечение защиты ПДн клиентов Организации от несанкционированного доступа и разглашения, а также предотвращение, выявление и устранение нарушений законодательства Российской Федерации в области обработки персональных данных.
1.4. ПДН представляют собой конфиденциальную информацию, подлежащую строгой защите в соответствии законодательными и нормативными требованиями.
1.5. Положение является основополагающим нормативным документом, регламентирующим деятельность Общества / Оператора в процессе обработки ПДН.
1.6. Все лица, получившие допуск к работе с ПДн, являются пользователями Положения, следовательно, ознакомлены с ним и несут ответственность за нарушение условий Положения.
2. Понятия и термины, используемые в Положении
2.1. Персональные данные (ПДН) — любая информация, относящаяся прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
2.2. Оператор персональных данных (Оператор) — Общество с ограниченной ответственностью «ЕВРОПОС ГРУПП», самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.3. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение}, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.4. Информация - сведения (сообщения, данные) независимо от формы их представления.
2.5. Конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицом без согласия ее обладателя.
2.6. Конфиденциальность персональных данных — обязанность Оператора и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицом и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
2.7. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
2.8. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.9. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.10. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.11. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.12. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных донных.
2.13. Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.14. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государство, иностранному физическому лицу или иностранному юридическому лицу.
3. Информация о мерах по обеспечению безопасности персональных данных
3.1. Оператор назначает лицо, ответственное за организацию обработки ПДн, с целью выполнения обязанностей, установленных Федеральным законом «О персональных данных» и соответствующими подзаконными нормативными актами.
3.2. Оператор осуществляет комплекс правовых, организационных и технических мероприятий для обеспечения безопасности ПДн, направленных на соблюдение конфиденциальности этих данных и их защиту от неправомерных действий.
3.3. Оператор осуществляет информирование сотрудников о нормах законодательства в области ПДн, а также о Положении и иных внутренних нормативных актах Оператора.
3.4. Оператор регламентирует порядок доступа к ПДН, обрабатываемым в информационной системе, а также обеспечивает документирование и учет всех операций с ними.
3.5. Оператор обеспечивает проведение внутреннего контроля за соблюдением законодательства РФ в области ПДн, а также требования к защите персональных донных, положения и иные локальные нормативные акты организации.
3.6. Оператор обрабатывает ПДн клиентов в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» от 27 июля 2006 г.
3.7. Оператор осуществляет обработку следующей информации: любые данные, которые прямо или косвенно связаны с субъектом персональных данных, то есть с конкретным или потенциально идентифицируемым физическим лицом, в том числе:
- фамилия, имя, отчество;
- электронный адрес;
- номера телефонов;
- адрес фактического места проживания (только в случае доставки товаров по адресу фактического проживания и/или почтовой высылки документов, предоставление которых должно быть в оригинальном виде в соответствии с действующим законодательством РФ);
- источник захода на сайт www.europos.ru (далее – Сайт www.europos.ru / Сайт) и информация поискового или рекламного запроса;
- данные о пользовательском устройстве (среди которых разрешение, версия и другие атрибуты, характеризующие пользовательское устройство);
- пользовательские клики, просмотры страниц, заполнения полей, показы и просмотры баннеров и видео;
- данные, характеризующие аудиторные сегменты;
- параметры сессии;
- данные о времени посещения;
- идентификатор Пользователя, хранимый в Сookie;
- данные о технических средствах (в том числе, мобильных устройствах) и способах технологического взаимодействия с сервисом (в т.ч. IP-адрес хоста, вид операционной системы Пользователя – субъекта персональных данных (далее по тексту – Пользователь), тип браузера, географическое положение, данные о провайдере и иное), об активности Пользователя на сервисе веб-сайта, Сookie, об информации об ошибках, выдаваемых Пользователям, о скачанных файлах, видео, инструментах, а также иные данные, получаемые установленными Оператором Политикой в отношении обработки персональных данных.
4. Порядок обработки персональных данных
4.1. В целях обеспечения сохранности и конфиденциальности ПДн все операции по оформлению, формированию, ведению и хранению ПДн осуществляет ответственное лицо, назначенное Генеральным директором Общества.
5. Меры, направленные на защиту персональных данных
5.1. Назначение лица, ответственного за обработку ПДн, которое осуществляет организацию обработки ПДн, внутренний контроль за соблюдением Организации требований к защите ПДН.
5.2. Разработка политики в отношении обработки ПДН.
5.3. Установление правил доступа к ПДН, обеспечение регистрации и учета всех действий, совершаемых с ПДн.
5.4. Учет обрабатываемых Оператором категорий и перечня персональных данных, категорий субъектов, персональные данные которых обрабатываются, сроков хранения и порядка уничтожения таких персональных данных.
5.5. Осуществление регулярного внутреннего контроля/аудита соответствия обработки и обеспечения безопасности персональных данных действующему законодательству Российской Федерации в области обработки и обеспечения безопасности персональных данных.
5.6. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.
5.7. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
5.8. Разработка моделей угроз, определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
5.9. Определение и внедрение перед введением новых процессов обработки персональных данных и новых информационных систем персональных данных технических и организационных мер, обеспечивающих защиту персональных данных.
5.10. Осуществление и документирование оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых Оператором мер.
5.11. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
5.12. Использование сертифицированного антивирусного программного обеспечения, сертифицированное ФСБ, с регулярно обновляемыми базами.
5.13. Использование операционной системы, сертифицированной ФСТЭК и ФСБ.
5.14. Использование межсетевого экрана третьего или четвертого уровня в зависимости от категории защищенности, к которой относится Оператор.
5.15. Анализирование защищенности на рабочих терминалах и серверах, принятие мер по устранению выявленных недостатков, усиление защитных мер. Использование для анализа сетевые сканеры, сертифицированные ФСТЭК и ФСБ.
5.16. Использование других инструментов по защите ПДн, таких как шифрование, средства криптографической защиты информации (СКЗИ), программно-аппаратные средства, системы мониторинга и DLP (Data Loss Prevention), системы аутентификации и авторизации.
5.17. Соблюдение условий, обеспечивающих сохранность ПДн и исключающих несанкционированный доступ к ним.
5.18. Обнаружение фактов несанкционированного доступа к ПДн.
5.19. Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
5.20. Изучение работниками, непосредственно осуществляющими обработку ПДн, положений законодательства РФ о персональных данных, в том числе требований к защите персональных данных, документов, определяющих политику Организации в отношении обработки ПДн, локально-нормативных актов по вопросам обработки ПДн.
5.21. Прекращение обработки персональных данных и уничтожение их в случаях, предусмотренных законодательством Российской Федерации.
5.22. Назначение лица, осуществляющее контроль за обезличиванием ПДн.
5.23. По фактам выявленных компьютерных инцидентов Оператором осуществляется уведомление Роскомнадзора, Национального координационного центра по компьютерным инцидентам и Федеральной службы безопасности о произошедших компьютерных инцидентах в ООО «ЕВРОСПОС ГРУПП», повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
5.24. Осуществление внутреннего контроля и аудита
5.24.1. Определение типа угроз безопасности и уровней защищенности ПДн, которые хранятся в информационных системах.
5.24.2. Под угрозами безопасности ПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.
5.24.3. Под уровнем защищенности ПДн подразумевается интегральный показатель, который отражает совокупность требований, выполнение которых обеспечивает нейтрализацию специфических угроз безопасности персональных данных при их обработке в информационной системе.
5.24.4. Обрабатываемые ПДн являются конфиденциальными и подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
6. Перечень локально-нормативных актов, применяемых для защиты персональных данных
6.1. Локально-нормативный акт, определяющий политику Оператора в отношении обработки персональных данных
6.2. Список лиц, обрабатывающих персональные данные.
6.3. Приказ о назначении лица, ответственного за организацию обработки персональных данных.
6.4. Локально-нормативный акт, устанавливающий процедуры, направленные на предотвращение и выявление нарушений законодательства в сфере защиты персональных данных, устранение последствий таких нарушений.
7. Права субъектов персональных данных
На основании Федерального закона № 152-ФЗ "О персональных данных", субъект персональных данных обладает следующими правами:
7.1. На получение доступа к персональным данным, относящимся к данному субъекту. и информации, касающейся их обработки.
7.2. На уточнение сведений о блокирование или уничтожение его ПДН в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
7.3. На отзыв данного им согласия на обработку ПДн.
7.4. На обжалование действий или бездействий Оператора в уполномоченный орган или в судебном порядке.
7.5. Субъекты ПДн обладают правом реализовывать свои законные интересы и права посредством обращения к Оператору в устной или письменной форме, включая возможность направления запросов через представителя, в том числе посредством электронной почты и иных предусмотренных Оператором способов обращения.
7.6. Субъект ПДН имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.
8. Гарантии конфиденциальности персональных данных
8.1. Информация, относящаяся к ПДн субъекта персональных данных, охраняется законом.
8.2. Субъект персональных данных вправе требовать полную информацию о своих ПДН, об их обработке, использовании и хранении.
8.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РФ.
9. Заключительные положения
9.1. Положение вступает в законную силу и является обязательным для исполнения для всех ответственных лиц при обработке ПДн субъекта ПДн.
9.2. Оператор вправе в одностороннем порядке в любой момент изменять условия Положения для актуализации в соответствии с действующим законодательством. Оператор рекомендует регулярно проверять содержание настоящего Положения на предмет его возможных изменений.
9.3. Новая редакция Положения вступает в силу с момента его размещения на Сайте Оператора, если иное не предусмотрено новой редакцией Положения.
9.4. Актуальная версия Положения действует бессрочно до замены её новой версией.