Звонок бесплатный! 8 800 1000 351

Положение о защите персональных данных

г. Магнитогорск, 2017г.

1. Общие положения

1.1. Настоящее Положение разработано на основании Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

1.2. В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» под персональными данными клиентов интернет-магазинов (далее –«персональные данные») понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации клиенту. Персональными данными физического лица являются, в том числе, его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, расходы, номера контактных телефонов, адреса электронной почты, данные платежных (банковских) реквизитов.

1.3. ООО «Технологии Роста» (далее –«Организация»), в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» является оператором, организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели и содержание обработки персональных данных.

1.4. Работники, уполномоченные на обработку персональных данных, обеспечивают обработку персональных данных в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»и несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.

1.5. Перечень лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных в Организации, утверждается приказом Генерального директора.

1.6. Целями настоящего Положения являются создание и определение условий для сбора, обработки, хранения и предоставления персональных данных, характеризующих своевременность исполнения клиентами своих обязательств по договорам купли-продажи и повышения эффективности работы Организации.

1.7. При получении, обработке, хранении и передаче персональных данных лица, уполномоченные на получение, обработку, хранение, передачу и любое другое использование персональных данных, обязаны соблюдать следующие требования:

  • обработка персональных данных осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
  • персональные данные следует получать лично у клиентов. В случае возникновения необходимости получения персональных данных у третьей стороны следует известить об этом клиентов заранее, получить их письменное согласие и сообщить клиентам о целях, предполагаемых источниках и способах получения персональных данных;
  • запрещается получать, обрабатывать и приобщать к личному делу клиентов не установленные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»персональные данные об их политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;
  • при принятии решений, затрагивающих интересы клиентов, запрещается основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;
  • защита персональных данных от неправомерного их использования или утраты обеспечивается за счет средств Организации в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и иными нормативными правовыми актами Российской Федерации;
  • передача персональных данных третьей стороне не допускается без письменного согласия клиентов, за исключением случаев, установленных федеральными законами;
  • клиенты и их представители должны быть ознакомлены с документами Организации, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области;
  • клиенты не должны отказываться от своих прав на сохранение и защиту тайны;
  • Организация, клиенты и их представители должны совместно вырабатывать меры защиты персональных данных.

1.8. Персональные данные, которые обрабатываются в информационных системах, подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

2. Сохранение персональных данных клиентов в Организации

2.1. Организация гарантирует безопасность и конфиденциальность используемых персональных данных, в том числе с применением электронных технологий.

2.2. При обращении в Организацию клиенты представляют достоверные сведения. Организация вправе проверять достоверность представленных сведений.

3. Получение, обработка, хранение персональных данных

3.1. В Организации устанавливается следующий порядок получения персональных данных, закрепленный в Правилах обработки персональных данных клиентов интернет-магазинов (Приложение №1 к настоящему Положению):

3.1.1. При обращении клиент заполняет форму обратной связи. Полученные данные помещаются в досье клиента.

3.1.2. Организация не имеет права получать и обрабатывать персональные данные клиента о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

3.1.3. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации Организация вправе получать и обрабатывать данные о частной жизни клиента только с его письменного согласия.

3.2. Организация вправе обрабатывать персональные данные клиентов только с их письменного согласия.

3.3. Письменное согласие клиента на обработку его персональных данных должно включать в себя:

  • фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие, а также порядок его отзыва.

3.4. Согласие клиента на обработку персональных данных не требуется в следующих случаях:

  • персональные данные являются общедоступными;
  • обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия Организации;
  • по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом;
  • обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов клиента, если получение его согласия невозможно.

3.5. Организация обеспечивает безопасное хранение персональных данных, в т.ч.:

3.5.1. Хранение, комплектование, учет и использование содержащих персональные данные документов организуется в форме обособленного архива Организации. Такой архив ведется в электронном виде.

3.5.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.5.3. Хранимые персональные данные подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их хранении обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

3.5.4. При хранении персональных данных Организация обеспечивает:

а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;

в) недопущение воздействия на технические средства автоматизированной обработки персональных данных или на бумажные документы, в результате которого может быть нарушено их функционирование;

г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

д) постоянный контроль за обеспечением уровня защищенности персональных данных.

4. Передача персональных данных

4.1. Персональные данные передаются с соблюдением следующих требований:

запрещается сообщать персональные данные третьей стороне без письменного согласия клиента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью клиента, а также в других случаях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

не сообщать персональные данные в коммерческих целях без письменного согласия субъекта таких данных;

предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

осуществлять передачу персональных данных в пределах Организации и ее структурных подразделений в соответствии с локальным нормативным актом, с которым клиент должен быть ознакомлен;

разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;

не запрашивать информацию о состоянии здоровья клиента, за исключением тех сведений, которые относятся к вопросу о возможности выполнения клиентом обязательств по договору займа;

передавать персональные данные клиента его представителям в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их полномочий.

5. Доступ к персональным данным

5.1. Право доступа к персональным данным имеют:

руководитель Организации;

работающие с определенным клиентом работники подразделений;

работники бухгалтерии;

работники юридической службы;

руководители структурных подразделений по направлениям их деятельности (доступ к персональным данным только клиентов его подразделения).

5.2. Клиенты в целях обеспечения защиты персональных данных имеют следующие права:

на полную информацию об их персональных данных и обработке этих данных;

на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;

на определение своих представителей для защиты своих персональных данных;

на требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». При отказе Организации исключить или исправить персональные данные клиент имеет право заявить в письменной форме Организации о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера клиент имеет право дополнить заявлением, выражающим его собственную точку зрения;

на требование об извещении Организацией всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

на обжалование в суд любых неправомерных действий или бездействия Организации при обработке и защите его персональных данных.

5.3. Копировать и делать выписки персональных данных разрешается исключительно в служебных целях с письменного разрешения начальника отдела внутреннего контроля.

6. Ответственность за нарушение норм, регулирующих обработку персональных данных

6.1. Лица, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

6.2. Генеральный директор Организации, допустивший нарушение порядка обращения с персональными данными, возмещает клиенту ущерб, причиненный неправомерным использованием информации, содержащей персональные данные об этом клиенте.

6.3. Работники Организации, допустившие разглашение персональных данных клиента, могут быть уволены по инициативе работодателя по пп. «в» ч. 6 ст. 81 Трудового кодекса Российской Федерации. Увольнение не исключает иных форм ответственности, предусмотренной действующим законодательством.

Приложение № 1

К Положению о защите персональных данных

клиентов интернет-магазинов

ПРАВИЛА обработки персональных данных клиентов интернет-магазинов

1. Обработка персональных данных в ООО «Технологии Роста» (далее – «Оператор») должна осуществляться на законной основе.

2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

Ответственный за осуществление обработки персональных данных у Оператора, должен принимать необходимые меры по удалению или уточнению неполных или неточных персональных данных.

7. Мерами, направленными на выявление и предотвращение нарушений, предусмотренных законодательством, являются:

  • осуществление внутреннего контроля соответствия обработки персональных данных нормам Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных» (далее - ФЗ «О персональных данных») и принятым в соответствии с ним нормативным правовым актам;
  • оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных»;
  • ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, и(или) обучение сотрудников.

8. Обеспечение безопасности персональных данных достигается, в частности:

  • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  • проведением в установленном порядке процедуры оценки соответствия средств защиты информации;
  • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • учетом машинных носителей персональных данных;
  • обнаружением фактов несанкционированного доступа к персональным данным и принятием мер по их недопущению;
  • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

9. Целью обработки персональных данных является обеспечение соблюдения законов и иных нормативных правовых актов.

10. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных», договором, стороной которого является субъект персональных данных.

Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных».

11. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором, в срок, не превышающий три рабочих дня с даты этого выявления, он обязан прекратить неправомерную обработку персональных данных.

В случае если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные.

Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

12. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных, на основаниях, предусмотренных Федеральным законом или другими федеральными законами.

13. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий три рабочих дня с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом персональных данных. Об уничтожении персональных данных ООО «Технологии Роста» обязано уведомить субъекта персональных данных не позднее трех рабочих дней со дня уничтожения.

14. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных выше, Оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок, не превышающий шесть месяцев, если иной срок не установлен федеральными законами.