ПОЛОЖЕНИЕ
О защите персональных данных клиентов и контрагентов
I. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Положение «О защите персональных данных клиентов и контрагентов ООО «Дар-ян» (далее – Оператор) определяет порядок обработки и защиты персональных данных клиентов и контрагентов ООО «Дар-ян»1.2. Настоящее Положение разработано в соответствии с Конституцией РФ, Федеральным законом РФ от 27.07.2006 No152-ФЗ «О персональных данных», Федеральным законом РФ No 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма", Федеральным законом РФ от 27.07.2006 No 149-ФЗ «Об информатизации, информационных технологиях и о защите информации», постановлениями Правительства РФ от 17.11.2007 No 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и от 15.09.2008 No 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», нормативными актами Правительства Российской Федерации и иными нормативными актами, действующими на территории Российской Федерации, а также внутренними Оператора.1.3. В настоящем Положении применяются термины и определения в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ «О персональных данных», другими нормативно-правовыми актами, регулирующими защиту прав субъектов персональных данных, и используются следующие дополнительные термины и определения: Оператор – Общество с ограниченной доверенностью «Дар-ян». Клиент – физическое лицо, носитель персональных данных или его законный представитель, вступившие в договорные отношения по оказанию возмездных и /или иных услуг с Оператором. Контрагент – физическое лицо, носитель персональных данных или его законный представитель, в том числе индивидуальные предприниматели и представители юридических лиц, вступившие с Оператором в договорные отношения. Персональные данные Клиента/Контрагента – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных — Клиенту, Контрагенту); в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, паспортные данные, другая информация. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных Клиента или Контрагента. Защита персональных данных Клиента или Контрагента – деятельность Оператора по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации.Конфиденциальность персональных данных – обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания. Ответственный сотрудник (пользователь) — сотрудник Оператора, отвечающий за использование персональных данных (сбор, уточнение, хранение) и имеющий доступ к субъектам персональных данных.СОБПДн — сотрудник Оператора, ответственный за организацию безопасности персональных данных.1.4. Действия настоящего Положения распространяется на всех Клиентов и Контрагентов Оператора.II. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Персональные данные Клиента или Контрагента относятся к категории конфиденциальной информации.2.2. В целях обеспечение требований защиты прав и свобод человека и гражданина при обработке персональных данных, Оператор и его представители при обработке персональных данных Клиента и/ли Контрагента обязаны соблюдать следующие общие требования:2.2.1. Обработка персональных данных Клиента и/или Контрагента осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия выполнения договорных обязательств в соответствии с законодательством РФ, минимизации Операторских рисков (включая сохранность активов и ресурсов Оператора), зависящих от персональных данных Клиента или Контрагента.2.2.2. При определении объема и содержания обрабатываемых персональных данных Клиента и Контрагента Оператор должен руководствоваться законодательством РФ.2.2.3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.2.2.4. Все персональные данные Клиента или Контрагента следует получать у него самого, за исключением случаев, если их получение возможно только у третьей стороны.2.2.5. Получение персональных данных у третьих лиц, возможно при условии уведомления Клиента или Контрагента об этом. В письменном уведомлении Оператор должен поставить Клиента или Контрагента в известность о целях получения персональных данных, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных и последствиях отказа Клиента или Контрагента дать письменное согласие на их получение.2.2.6. Оператор не имеет права получать и обрабатывать персональные данные Клиента или Контрагента о его политических, религиозных и иных убеждениях и частной жизни.2.3. При идентификации Клиента или Контрагента Оператора может затребовать предъявления документов, удостоверяющих личность и подтверждающих полномочия представителя.2.4. При заключении договора, как и в ходе выполнения договора, может возникнуть необходимость в предоставлении Клиентом иных документов и информации, помимо представленных Оператору ранее, подтверждающих представленные Клиентом\Контрагентом персональные данные: о семейном положении; о наличии и возрасте детей; об инвалидности; о составе семьи; об имущественном положении; о месте работы.2.5. Передача персональных данных субъекта персональных данных третьим лицам осуществляется только с письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных законодательством Российской Федерации.2.7. Передача (обмен и т.д.) персональных данных осуществляется только между работниками Оператора, имеющими доступ к персональным данным субъектов.2.8. Оператор по мотивированному требованию уполномоченного органа государственной власти, иного государственного органа предоставляет им на безвозмездной основе сведения, содержащие персональные данные, в объеме и на условиях, указанных в законодательстве РФ.III. ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Защита персональных данных Клиентов или Контрагентов от неправомерного их использования или утраты обеспечивается Оператором в порядке, установленном законодательством РФ.3.2. Защите подлежит:- информация о персональных данных субъекта;- документы, содержащие персональные данные субъекта;- персональные данные, содержащиеся на электронных носителях.3.3. Все Работники Оператора, имеющие доступ к персональным данным Клиентов или Контрагентов, обязаны подписать соглашение о неразглашении персональных данных.3.4. Ответственные лица, хранящих персональные данные на бумажных носителях и машинных носителях информации, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному постановлением правительства РФ 15 сентября 2008 No 687 и Положением ООО «Дар-ян» о порядке хранения персональных данных, обработка которых осуществляется без использования средств автоматизации.3.5. Ответственные лица, обрабатывающие персональные данные в информационных системах персональных данных и машинных носителях информации, обеспечивают защиту в соответствии с постановлением Правительства РФ No 1119 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства РФ No 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» и другими нормативными, нормативно-методическими, методическими документами Оператора.3.6. Оператор обязан блокировать персональные данные, в случае:- предоставления субъектом персональных данных сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту персональных данных и обработку которых осуществляет Оператор, являются неполными, неточными, неактуальными, незаконно полученными или не являются необходимыми для заявленной цели обработки;- выявления неправомерной обработки персональных данных Оператор при обращении или по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных.IV. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Сведения о Клиентах и Контрагентах хранятся на бумажных носителях в помещении Оператора. Для хранения носителей используются специально оборудованные шкафы и сейфы, которые запираются и опечатываются при необходимости, и сдаются под охрану.4.2. Конкретные обязанности по хранению документов, где содержаться персональные данные Клиентов или Контрагентов, возлагаются на ответственных лиц Оператора и закрепляются во внутреннем документе Оператора (приказ с инструкциями).4.3. Персональные данные Клиентов или Контрагентов могут также храниться в электронном виде, доступ к которым ограничен и регламентируется внутренними документами Оператора.4.4. Доступ к персональным данным Клиентов или Контрагентов без специального разрешения имеют работники, допущенные к обработке персональных данных внутренним документом Оператора (приказ, инструкции).4.5. Хранение персональных данных Клиента или Контрагента должно осуществляться в форме, позволяющей определить Клиента или Контрагента, не дольше, чем этого требуют цели их обработки и требование законодательства о порядке хранения документов. Персональные данные Клиента или Контрагента подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.Сроки хранения документов, содержащих персональные данные Клиента или Контрагента, определяются в соответствие со сроком действия договора с Клиентом или Контрагентом, сроком исковой давности, а также иными требованиями законодательства РФ и нормативными документами.V. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. При передаче персональных данных Клиента или Контрагента Оператор соблюдает следующие требования:5.2.1. Не сообщает персональные данные Клиента или Контрагента третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, при поступлении официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях», при поступлении официальных запросов из налоговых органов, органов Социального Фонда России, судебных органов, а также в иных случаях, предусмотренных федеральными законами и иными нормативными актами уполномоченных органов РФ. Оператор в каждом конкретном случае делает самостоятельную оценку серьезности, неминуемости, степени такой угрозы. Если же лицо, обратившееся с запросом, не уполномочено на получение персональных данных Клиента или Контрагента, либо отсутствует письменное согласие Клиента или Контрагента на предоставление его персональных сведений, либо, по мнению Оператора, присутствует угроза жизни или здоровью Клиента или Контрагента, Оператор обязан отказать в предоставлении персональных данных лицу. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении персональных данных.5.2.2. Предупреждает лиц, получающих персональные данные Клиента или Контрагента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные Клиента или Контрагента, обязаны соблюдать требования конфиденциальности.5.2.3. Осуществляет передачу персональных данных Клиента или Контрагента в пределах своей организации в соответствии с настоящим Положением и иными внутренними документами Оператора.5.2.4. Разрешает доступ к персональным данным Клиентов или Контрагентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Клиента или Контрагента, которые необходимы для выполнения конкретных функций. Лица, получающие персональные данные Клиента или Контрагента, обязаны соблюдать требования конфиденциальности.5.2.6. Не запрашивает информацию о состоянии здоровья Клиента или Контрагента, за исключением тех сведений, которые относятся к вопросу о возможности выполнения Клиентом или Контрагентов своих представительских функций.5.2.7 Передает персональные данные Клиента или Контрагента его представителям в порядке, установленном законодательством РФ, и ограничивает эту информацию только теми персональными данными Клиента или Контрагента, которые необходимы для выполнения указанными представителями их функций.5.2 В случае, если Оператору оказываются услуги юридическими или физическими лицами на основании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к персональным данным Клиентов или Контрагентов, то соответствующие данные предоставляются Оператором только после подписания с ними соглашения (условия) о конфиденциальности (неразглашении конфиденциальной информации).5.3. Все сведения о передаче персональных данных Клиентов или Контрагентов регистрируются в целях контроля правомерности использования данной информации лицами, ее получившими.VI. ОБЯЗАННОСТИ КЛИЕНТА, КОНТРАГЕНТА И ОПЕРАТОРА
В целях обеспечения достоверности персональных данных,6.1 Клиент или Контрагент обязан:6.1.1 При заключении договора предоставить Оператору полные и достоверные данные о себе;6.1.2 В случае изменения сведений, составляющих персональные данные Клиента или Контрагента, незамедлительно, но не позднее пяти рабочих дней, предоставить данную информацию Оператору, если более короткий срок не предусмотрен договором между Оператором и Клиентом/Контрагентом.6.2 Оператор обязан:6.2.1 Обеспечить защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ;6.2.2 Ознакомить Клиента, Контрагента или их законных представителей с настоящим положением и его правами в области защиты персональных данных в том числе путем размещения его текста на официальном сайте Оператора https://asia-chita.ru/;6.2.3 Обеспечить хранение первичной учетной документации. При этом персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные.6.2.4 Вести учет передачи персональных данных Клиента или Контрагента третьим лицам в соответствии с внутренним порядком, установленным Оператором.6.2.5 В случае реорганизации или ликвидации Оператора учет и сохранность документов, порядок передачи их на государственное хранение осуществлять в соответствии с правилами, предусмотренными учредительными документами и действующим законодательством Российской Федерации.6.2.6 Вести учет обращений субъектов персональных данных в части Федерального закона N152-ФЗ.6.2.7 Осуществлять передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации.6.2.8 По требованию субъекта или его законного представителя предоставить ему полную информацию о его персональных данных и обработке этих данных.VII. ПРАВА КЛИЕНТОВ ИЛИ КОНТРАГЕНТОВ В ЦЕЛЯХ ЗАЩИТЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1 В целях обеспечения защиты персональных данных, хранящихся у Оператора, Клиенты или Контрагенты имеют право на:7.1.1 Полную информацию о составе персональных данных и их обработке, в частности Клиент или Контрагент имеет право знать, кто и в каких целях использует или использовал информацию о его персональных данных.7.1.2 Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные Клиента или Контрагента, за исключением случаев, предусмотренных законодательством РФ.7.1.3 Определение своих представителей для защиты своих персональных данных.7.1.4 Требование об исключении или исправлении неверных, или неполных устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для Оператора персональных данных. При отказе Оператора исключить или исправить персональные данные Клиента или Контрагента он имеет право заявить в письменной форме Оператору о своем несогласии с соответствующим обоснованием такого несогласия.7.1.5 Требование об извещении Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные Клиента или Контрагента, обо всех произведенных в них исключениях, исправлениях или дополнениях.7.1.6 Обжалование в суд любых неправомерных действий или бездействия Оператора при обработке и защите его персональных данных.VIII. ОТВЕТСТВЕННОСТЬ
8.1. Ответственность за исполнение требований настоящего Положения несут сотрудники Оператора, на которых возложена ответственность за обработку персональных данных Клиентов, в том числе предоставление персональных данных, внесение изменений в персональные данные, прекращение обработки персональных данных.8.2. Ответственность за соблюдение режима персональных данных по отношению к персональным данным, находящимся у сотрудников на персональных компьютерах и в документарной форме, несут данные сотрудники.8.3. Лица, виновные в нарушении требований Положения, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством РФ.8.4. Контроль за соблюдением требований настоящего Положения возлагается на ответственное лицо за организацию безопасности персональных данных.IX. УСЛОВИЯ РАЗРАБОТКИ, УТВЕРЖДЕНИЯ И АКТУАЛИЗАЦИИ НАСТОЯЩЕГО
ПОЛОЖЕНИЯ
9.1. Настоящее положение разработано и утверждено в соответствии с требованиями Федерального закона от 27.07.2006 (ред. от 21.12.2013) No 152-ФЗ «О персональных данных», постановления Правительства РФ от 06.07.2008 No 512 (ред. от 27.12.2012) "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных", постановления Правительства РФ от 15.09.2008 No 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановления Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".9.2. Настоящее положение вступает в силу с момента его утверждения приказом директора Общества.9.3. Актуализация настоящего Положения производится ответственным лицом в соответствии с требованиями Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных», иного законодательства Российской Федерации в области обработки персональных данных, в том числе в соответствии с требованиями международных договоров в области обработки персональных данных ратифицированных и обязательных для применения на территории Российской Федерации.