1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным (далее ПД) клиентов ООО "Единый Центр Строительства и Землеустройства" (далее Общества). Под клиентами подразумеваются лица, которым Общество оказывает услуги.
1.2. Цель настоящего Положения - защита ПД клиентов Общества от несанкционированного доступа и разглашения. ПД всегда являются конфиденциальной, строго охраняемой информацией.
1.3. Основанием для разработки настоящего Положения являются Конституция РФ, Федеральный Закон "О персональных данных", с изменениями, вступившими в силу, другие действующие нормативно-правовые акты РФ.
1.4. Настоящее Положение и изменения к нему утверждаются директором Общества и вводятся приказом по предприятию.
2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Под ПД клиентов понимается информация необходимая Обществу и его сотрудникам для оказания должных услуг. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Состав персональных данных клиентов:
- Ф.И.О.;
- паспортные данные;
- номер телефона;
- e-mail;
- адрес места жительства.
2.2. Данный состав данных является конфиденциальными. Режим конфиденциальности ПД снимается в случаях обезличивания, в отношении общедоступных персональных данных или по истечении установленного федеральным законом сроков хранения документов, относящихся к персональным данным клиента.
2.4. В целях информационного обеспечения могут создаваться источники ПД (справочники).
2.5. Сведения о клиенте могут быть в любое время исключены из источников ПД по требованию клиента либо по решению суда или иных уполномоченных государственных органов.
3. ОБЯЗАННОСТИ ОБЩЕСТВА
3.1. В целях обеспечения прав и свобод человека и гражданина Общество и его представители при обработке ПД клиента обязаны соблюдать следующие общие требования:
3.2. Обработка ПД клиента может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, а так же для формирования персональных скидочных предложений.
3.3. При определении объема и содержания, обрабатываемых ПД клиента Общество и его представители должны руководствоваться Конституцией РФ, Федеральным законом "О персональных данных" и иными федеральными законами.
3.4. Все ПД клиента Общество получает в добровольном порядке, от воли клиента и его интересах, который даёт согласие на обработку, в том числе на сбор, систематизацию, накопление, хранение (уточнение, обновление, изменение), использование, передачу третьим лицам, обезличивание, блокирование и уничтожение его ПД — фамилии, имени, отчества, даты рождения, адреса, номера контактного телефона, адреса электронной почты Обществу с целью предоставления ему товаров и услуг.
3.5. Общество не имеет права получать и обрабатывать ПД клиента о его политических, религиозных и иных убеждениях и частной жизни.
3.6. Защита ПД клиента от неправомерного их использования или утраты должна быть обеспечена Обществом за счет его средств в порядке, установленном федеральным законом.
3.7. Работники Общества и их представители должны быть ознакомлены под роспись с документами предприятия, устанавливающими порядок обработки ПД клиентов, а также об их правах и обязанностях в этой области.
3.8. Работники не должны отказываться от своих прав на сохранение и защиту тайны.
4. ПРАВА КЛИЕНТА
4.1. Клиент, ПД которого обрабатываются Обществом и его представителями, имеет право:
- требовать от Общества уточнения своих ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отозвать свое согласие на обработку ПД в любой момент;
- требовать устранения неправомерных действий Общества в отношении его ПД;
- обжаловать действия или бездействие Компании в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если субъект ПД считает, что Компания осуществляет обработку его ПД с нарушением требований Закона или иным образом нарушает его права и свободы;
- на защиту своих прав и законных интересов.
4.2. Общество и его представители в процессе обработки ПД обязано:
- предоставлять клиенту по его запросу информацию, касающуюся обработки его ПД, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса от клиента или его представителя;
- разъяснить клиенту юридические последствия отказа предоставить ПД, если предоставление данных является обязательным в соответствии с федеральным законом;
- до начала обработки ПД (если данные получены не от клиента) предоставить клиенту следующую информацию, за исключением случаев, предусмотренных частью 4 статьи 18 Закона:
- наименование, либо фамилия, имя, отчество и адрес Общества или его представителя;
- цель обработки ПД и ее правовое основание;
- предполагаемые пользователи ПД;
- установленные Законом права клиента;
- источник получения ПД.
- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
- опубликовать в сети интернет на сайтах ecsiz.ru, torg.ecsiz.ru, partner.ecsiz.ru и обеспечить неограниченный доступ с использованием сети интернет к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите данных;
- осуществить блокирование неправомерно обрабатываемых ПД, относящихся к клиенту, или обеспечить их блокирование (если обработка ПД осуществляется другим лицом, действующим по поручению Общества) с момента обращения или получения запроса на период проверки, в случае выявления неправомерной обработки ПД при обращении клиента.
- уточнить ПД, либо обеспечить их уточнение (если обработка данных осуществляется другим лицом, действующим по поручению Общества) в течение 7 рабочих дней со дня представления;
- сведений и снять блокирование ПД, в случае подтверждения факта неточности данных на основании сведений, представленных клиентом или его представителем;
- прекратить неправомерную обработку ПД или обеспечить прекращение неправомерной обработки ПД лицом, действующим по поручению Общества, в случае выявления неправомерной обработки ПД, осуществляемой Обществом или лицом, действующим на основании договора с Обществом, в срок, не превышающий 3 рабочих дней, с даты этого выявления;
- прекратить обработку ПД клиента или обеспечить ее прекращение (если обработка ПД осуществляется другим лицом, действующим по договору с Обществом) и уничтожить ПД или обеспечить их уничтожение (если обработка ПД осуществляется другим лицом, действующим по договору с Обществом) по достижению цели обработки ПД, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является клиент, в случае достижения цели обработки ПД;
- прекратить обработку ПД клиента или обеспечить ее прекращение и уничтожить ПД или обеспечить их уничтожение в случае отзыва клиентом согласия на обработку ПД, если Общество не вправе осуществлять обработку данных без согласия клиента;
5. СБОР, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка ПД клиента - это получение, хранение, комбинирование, передача или любое другое использование ПД.
5.2. Все ПД клиента следует получать у него самого. Если ПД клиента возможно получить только у третьей стороны, то клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
5.3. Все ПД клиента Общество получает в добровольном порядке, от воли клиента и его интересах. Клиент даёт согласие на обработку, в том числе на сбор, систематизацию, накопление, хранение (уточнение, обновление, изменение), использование, передачу третьим лицам, обезличивание, блокирование и уничтожение его персональных данных — фамилии, имени, отчества, даты рождения, адреса, номера контактного телефона, адреса электронной почты.
6. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. При передаче ПД клиентов Общество должно соблюдать следующие требования:
6.1.1. не передавать ПД клиентов третьей стороне без письменного согласия клиентов, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральным законом;
6.1.2. не передавать ПД клиентов третьим лицам в коммерческих целях, без его письменного согласия;
6.1.3. предупреждать третьих лиц, получающих ПД клиентов, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПД клиентов, обязаны соблюдать конфиденциальность.
6.1.4. разрешать доступ к ПД клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПД, которые необходимы для выполнения конкретных функций.
7. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
7.1. Внутренний доступ (доступ внутри предприятия).
Доступ к ПД клиентов имеют:
- директор Общества
- иные сотрудники Общества, утвержденные приказом;
- сами клиенты, носители данных.7.2.
Внешний доступ. ПД вне организации могут представляться в государственные и негосударственные функциональные структуры в соответствии с законодательством:
- налоговые инспекции;
- правоохранительные органы;
8. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. В целях обеспечения сохранности и конфиденциальности ПД клиентов Общества все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только уполномоченными работниками, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.
8.2. Передача информации, содержащая сведения о ПД клиентов Общества без письменного согласия клиентов запрещается, за исключением случаев предусмотренных действующим законодательством РФ.
8.3. Информация, относящаяся к ПД клиентов хранится в электронном виде, в базе данных Общества. Доступ к электронной базе данных клиентов, обеспечивается двухфакторной системой авторизации: на уровне доменной учетной записи и на уровне баз данных. Доступ в помещения, где установлено серверное и сетевое оборудование, ограничен и определяется должностными инструкциями работников.
8.3. Персональные компьютеры, в которых содержатся ПД, защищены паролями доступа.
8.4. Общество обязано ознакомить под подпись персонал, имеющий доступ к ПД клиентов с "Положением об обработке и защите персональных данных".
9. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ, СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
9.1. Лица, имеющие доступ к ПД, подписывают Обязательство о неразглашении ПД клиентов.
9.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПД, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.