0
+7 989 634 39 92

Положение о защите персональных данных

alt
ПОЛОЖЕНИЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ ИП ЧУЙКОВ В.В.

1. Общая часть
1.1. Настоящее «Положение о защите персональных данных клиентов ИП Чуйков В.В. (далее – Положение) определяет порядок создания, обработки и защиты персональных данных клиентов ИП Чуйков В.В. (далее - Оператор).
1.2. Основанием для разработки данного локального нормативного акта являются:
Конституция РФ от 12.12.1993г (ст. 2, 17-24, 41);
Глава 14 (ст. 86-90) Трудового кодекса РФ;
Часть 1 и 2, часть 4 Гражданского кодекса РФ;
Федеральный Закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
Федеральный Закон от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Постановление Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
1.3. Целью настоящего Положения является определение порядка обработки персональных данных клиентов Оператора, обеспечение защиты их прав и свобод при обработке персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным клиентов Оператора, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных.
1.4. Клиент считается ознакомившимся и согласившимся с настоящим Положением при выполнении всех условий, предусмотренных при регистрации нового пользователя.
1.5. После прохождения регистрации Клиент полностью принимает условия Положения.
1.6. Положение может быть изменено Оператором в любой момент и без какого-либо предварительного уведомления клиента. Новая версия Положения вступает в силу с момента её размещения на сайте Оператора.
1.7. Наиболее актуальная версия Соглашения всегда находится на сайте Оператора.

2. Основные понятия, используемые в настоящем положении
2.1. Для целей настоящего Положения применяются следующие термины и определения:
Клиенты (субъекты) – физические лица, вступившие в договорные и иные гражданско-правовые отношения с Оператором, пользующиеся услугами Оператора, иные физические лица, являющиеся потенциальными клиентами Оператора, а также выгодоприобретатели (т.е. лица, к выгоде которых действует клиент), при осуществлении коммерческой деятельности.
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
Персональные данные клиента – информация, необходимая Оператору в целях предоставления услуг клиенту, для целей заключения любых сделок (договоров) и их дальнейшего исполнения. Перечень персональных данных клиента включает:
фамилию, имя, отчество;
пол;
контактный телефон;
адрес электронной почты;
изображение клиента1;
адрес фактического проживания.
Документы, содержащие персональные данные - анкета клиента; копии личных документов, необходимых для оформления гражданско-правового договора.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных клиента.
Распространение персональных данных - действия, направленные на передачу персональных данных третьим лицам, с письменного согласия субъекта персональных данных, в целях исполнения договора (передача персональных данных).
Использование персональных данных - действия (операции) с персональными данными, совершаемые Оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных - обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Несанкционированный доступ (несанкционированные действия) к информационным системам персональных данных - доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных.
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с Федеральными законами не распространяется требование соблюдения конфиденциальности.

3. Общие принципы и условия обработки персональных данных клиентов
3.1. Обработка персональных данных осуществляется на основе принципов:
законности целей и способов обработки персональных данных и добросовестности;
соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
недопустимости объединения баз данных информационных систем персональных данных, созданных для различных целей обработки;
соответствия содержания обрабатываемых персональных данных заявленным целям их обработки.
достоверности персональных данных и актуальности по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по уточнению неполных или неточных данных.
3.2. Обработка персональных данных клиента осуществляется для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является или будет являться субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
3.3. В целях обеспечения прав и свобод человека и гражданина Оператор и его представители при обработке персональных данных клиентов обязаны соблюдать следующие общие требования:
обработка персональных данных клиентов Оператора может осуществляться исключительно в целях исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
все персональные данные клиента Оператор должен получать у него самого. Если, по какой-либо уважительной причине персональные данные клиента возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие;
при определении объема и содержания обрабатываемых персональных данных клиента Оператор должен руководствоваться Конституцией РФ, законодательством РФ в сфере защиты персональных данных и обработки информации, Уставом Оператора и иными локальными нормативными актами в области защиты персональных данных;
Оператор не имеет права получать и обрабатывать персональные данные клиента, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ;
решение, порождающее юридические последствия в отношении клиента Оператора или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия клиента в письменной форме или в случаях, предусмотренных Федеральным законодательством, устанавливающим также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
Оператор обязан рассмотреть возражение клиента против решения, принятого на основании исключительно автоматизированной обработки его персональных данных, в течение тридцати дней со дня его получения и уведомить клиента о результатах рассмотрения такого возражения;
клиенты должны быть ознакомлены с настоящим Положением, устанавливающим порядок обработки их персональных данных, а также об их правах и обязанностях в этой области.
3.4. Обработка персональных данных клиентов осуществляется смешанным путем:
неавтоматизированным способом обработки персональных данных;
автоматизированным способом обработки персональных данных (с помощью ПЭВМ и специальных программных продуктов).
3.5. Обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и Постановлением Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

4. Получение персональных данных клиентов
4.1. Получение персональных данных осуществляется путем предоставления их клиентом, посредством ввода персональных данных в регистрационные поля при оформлении заказа или регистрации Личного кабинета на интернет-сайте Оператора «https://www.rukuku.ru», а также при оформлении заказа по телефонным сетям общего пользования, за исключением случаев, предусмотренных действующим законодательством РФ.
4.2. Если персональные данные клиента возможно получить только у третьей стороны, то клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Ознакомление с настоящим Положением заполнение анкеты и других документов с персональными данными со слов самого клиента или документов за его подписью является гарантией этого.
4.3. В случае необходимости проверки персональных данных клиента Оператор должен заблаговременно сообщить клиенту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа клиента дать письменное согласие на их получение.

5. Хранение и использование персональных данных клиентов
5.1. Порядок хранения и использования документов, содержащих персональные данные клиентов осуществляется в соответствии с:
Федеральным Законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральным Законом от 27.07.2006 г № 152-ФЗ «О персональных данных».
5.2. Доступ к персональным данным клиентов имеют сотрудники Оператора, допущенные к работе с персональными данными клиентов приказом Генерального директора. Данным категориям сотрудников в их должностные обязанности включается пункт о сохранении конфиденциальности обрабатываемой информации.
5.3. Персональные данные клиентов преимущественно хранятся на электронных носителях.
5.4. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом № 152-ФЗ, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законодательством.
5.5 Хранение документов, содержащих персональные данные клиентов, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению.

6. Защита персональных данных клиентов
6.1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
соблюдение конфиденциальности информации ограниченного доступа;
6.2. Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
6.3. Для обеспечения безопасности персональных данных клиентов при неавтоматизированной обработке предпринимаются следующие меры:
6.3.1. Определяются места хранения персональных данных клиентов.
6.3.2. При обработке персональных данных клиентов на материальных носителях, не допускается фиксация на одном материальном носителе тех данных, цели обработки которых заведомо не совместимы.
Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.
Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, должно производиться способом, исключающим дальнейшую их обработку с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
6.3.3. Обработка персональных данных клиентов осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
7. Передача персональных данных клиентов третьим лицам
7.1. Передача персональных данных клиентов третьим лицам осуществляется Оператором только с их письменного согласия, за исключением случаев, если:
7.7.1 передача необходима для защиты жизни и здоровья клиента, либо других лиц и получение его согласия невозможно;
7.7.2 по запросу органов дознания, следствия и суда в связи с проведением расследования или судебным разбирательством;
7.7.3 при наличии оснований, позволяющих полагать, что права и интересы клиента могут быть нарушены противоправными действиями других лиц;
7.7.4 в целях организации работ с военными комиссариатами для постановки на воинский учет лиц, подлежащих призыву в порядке, установленном законодательством;
7.7.5 в иных случаях, прямо предусмотренных Федеральными законами.
Лица, которым в установленном законом порядке переданы сведения, составляющие персональные данные клиента, за разглашение сведений несут дисциплинарную, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
7.2. Передача персональных данных клиента третьим лицам осуществляется на основании заявления/запроса третьего лица при условии соблюдения требований, предусмотренных п. 7.1.настоящего Положения.
7.3. В целях соблюдения законов и иных нормативных правовых актов Российской Федерации и обеспечения положений заключенных договоров возможна передача персональных данных клиента при принятии решений, порождающих юридические последствия в отношении клиента или иным образом затрагивающее его права и законные интересы.

8. Общедоступные источники персональных данных клиентов
8.1. В целях информационного обеспечения Оператором могут создаваться общедоступные источники персональных данных (в том числе справочники, информационные стенды для потребителей услуг, оказываемых Оператором). В общедоступные источники персональных данных с письменного согласия клиента могут включаться его фамилия, имя, отчество, адрес, рабочий номер, и иные персональные данные, предоставленные клиентом.
8.2. При обезличивании персональных данных согласие клиента на включение персональных данных в общедоступные источники персональных данных не требуется.
8.3. Сведения о клиенте могут быть исключены из общедоступных источников персональных данных по требованию самого клиента либо по решению суда или иных уполномоченных государственных органов.

9. Права клиента и обязанности оператора в области защиты его персональных данных
9.1. В целях обеспечения защиты персональных данных, хранящихся у Оператора, клиенты имеют право на получение информации, касающейся обработки его персональных данных, в том числе:
9.1.1. полную информацию о составе и содержимом обрабатываемых персональных данных, относящиеся к клиенту, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом № 152-ФЗ;
9.1.2. свободный доступ к своим персональным данным;
9.1.3. подтверждение факта обработки персональных данных Оператором;
9.1.4. правовые основания и цели обработки персональных данных;
9.1.5. применяемые Оператором способы обработки персональных данных;
9.1.6. наименование и место нахождения Оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании Федерального закона № 152-ФЗ;
9.1.7. порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
9.1.18. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
9.1.10. требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. 9.1.12. обжалование в суд любых неправомерных действий или бездействия Оператора при обработке и защите его персональных данных;
9.1.11. иные права, предусмотренные Федеральным законом № 152-ФЗ или Федеральным законодательством.
9.2. Сведения должны быть предоставлены клиенту в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
9.3. Оператор обязан:
9.3.1. предоставить клиенту, по его запросу, информацию о наличии у Оператора его персональных данных, о целях и способах их обработки, разъяснить юридические последствия отказа клиента от их предоставления в случае, если такая обязанность предусмотрена Федеральным Законом;
9.3.2. осуществить блокирование неправомерно обрабатываемых персональных данных клиента или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента обращения клиента или его законного представителя, либо по запросу клиента или его законного представителя, либо уполномоченного органа по защите прав субъектов персональных данных или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы клиента или третьих лиц, в случаях:
выявления неправомерной обработки персональных данных;
в случае выявления неточных персональных данных.
9.3.3. при подтверждения факта неточности персональных данных клиента, уточнить эти данные, либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления уточненных сведений клиентом или его законным представителем, либо уполномоченным органом по защите прав субъектов персональных данных, а также снять блокирование персональных данных клиента;
9.3.4. прекратить неправомерную обработку персональных данных клиента или обеспечить прекращение неправомерной обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий трех рабочих дней с даты выявления факта неправомерной обработки персональных данных;
9.3.5. уничтожить персональные данные клиента или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных.
9.3.6. прекратить обработку персональных данных клиента или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные, или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является клиент или иным соглашением между Оператором и клиентом;
9.3.7. прекратить обработку персональных данных клиента или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в случае отзыва клиентом согласия на обработку его персональных данных;
9.3.9. в случае отсутствия возможности уничтожения персональных данных клиента в течение указанного срока, осуществить их блокирование или обеспечить блокирование персональных данных клиента (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечить уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен Федеральным законодательством;
9.3.10. принимать все возможные меры по обеспечению безопасности персональных данных клиентов при их обработке.
9.4. Оператор имеет право:
9.4.1. требовать от клиента предоставления персональных данных и документов, их подтверждающих, в объеме, необходимом для качественного исполнения обязательств и в случаях, предусмотренных Федеральными законами;
9.4.2. иные права, предусмотренные действующим законодательством.

10. Право на обжалование действий или бездействия оператора
10.1. Если клиент считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального Закона № 152-ФЗ или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи) или в судебном порядке.
10.2. Клиент имеет право на защиту своих прав и законных интересов в судебном порядке.
11. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных клиентов
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных клиента ИП Чуйков В.В., несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.

12. Прочие положения
12.1. Настоящее Положение распространяется на всех клиентов ИП Чуйков В.В , а так же сотрудников ИП Чуйков В.В , имеющих доступ к персональным данным клиентов ИП Чуйков В.В и осуществляющих весь перечень действий с персональными данными.
12.2. В случае если отдельные нормы настоящего Положения вступят в противоречие с действующим законодательством Российской Федерации, они утрачивают силу и применяются соответствующие нормы действующего законодательства Российской Федерации. Недействительность отдельных норм настоящего Положения не влечет недействительности других норм и Положения в целом.