Положение о хранении персональных данных
1. Основные понятия, используемые в положении
1.2 Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
1.3 клиент (субъект персональных данных) – физическое лицо, потребитель услуг ООО «ГЕЛЬТЕК-МЕДИКА», далее «Организация»;
1.4. оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящего Положения Оператором признаётся Общество с ограниченной ответственностью «ГЕЛЬТЕК-МЕДИКА»;
1.5. обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
1.6. автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
1.7. распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
1.8. предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
1.9. блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
1.10. уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
1.11. обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
1.12. информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
1.13. трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2. Общие положения
2.1. Настоящее Положение об обработке персональных данных (далее – Положение) разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом 152-ФЗ «О персональных данных», иными федеральными законами.
2.2. Цель данного Положения – обеспечение требований защиты прав граждан при обработке их персональных данных. Персональные данные могут обрабатываться только для целей, непосредственно связанных с деятельностью ООО «ГЕЛЬТЕК-МЕДИКА».
2.3. Сбор, хранение, использование и распространение, в том числе передача третьим лицам персональных данных без письменного согласия клиента не допускаются.
2.4. Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, если иное не определено законом.
2.5. Сотрудники Организации, в обязанность которых входит обработка персональных данных Клиента, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
2.6. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.
2.7. «Организация» в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
2.8. Настоящее положение утверждается генеральным директором ООО «ГЕЛЬТЕК-МЕДИКА» и является обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным Клиента.
2.9. Изменения в Положение вносятся на основании Приказов Генерального директора Организации
3. Принципы обработки персональных данных Клиента
Обработка персональных данных должна осуществляться на основе принципов:
- законности целей и способов обработки персональных данных и добросовестности;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Организации;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;
- уничтожения персональных данных после достижения целей обработки или в случае утраты необходимости в их достижении;
- личной ответственности сотрудников Организации за сохранность и конфиденциальность персональных данных, а также носителей этой информации;
- наличие четкой разрешительной системы доступа сотрудников Организации к документам и базам данных, содержащим персональные данные.
4. Состав персональных данных
4.1. В состав персональных данных Клиентов, в том числе входят:
- Фамилия, имя, отчество.
- Год рождения.
- Месяц рождения.
- Дата рождения.
- Место рождения.
- Паспортные данные
- Адрес электронной почты.
- Номер телефона (домашний, сотовый).
4.2. В Организации могут создаваться (создаются, собираются) и хранятся следующие документы и сведения, в том числе в электронном виде, содержащие данные о Клиентах;
4.3. Договор на покупку товара;
4.4. Копии документов, удостоверяющих личность, а также иных документов, предоставляемых Клиентом, и содержащих персональные данные.
4.5. Данные по оплатам заказов (товаров/услуг), содержащие платежные и иные реквизиты Клиента.
5. Сбор, обработка и хранение персональных данных
Все персональные данные Клиента следует получать у него самого после предоставления им письменного согласия.
Письменное согласие включает в себя:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование (фамилию, имя, отчество) и адрес Организации, получающей согласие Клиента;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие Клиента;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Организацией способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва.
Согласие не требуется, если:
- сотрудники организации не просили передавать персональные данные, но если субъект их передал, то Организация ответственности не несет, так как это было случайное получение сотрудниками Организации персональных данных без непосредственно цели получения данных.
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
- обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
- обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», при условии обязательного обезличивания персональных данных;
- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе следующую информацию:
- подтверждение факта обработки персональных данных Организации, а также цель такой обработки;
- способы обработки персональных данных, применяемые Организацией;
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
Если персональные данные о Клиенте возможно получить только у третьей стороны, то Клиенту должна быть предоставлена следующая информация:
- наименование (фамилия, имя, отчество) и адрес Организации;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- установленные Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» права субъекта персональных данных.
Организация не имеет права получать и обрабатывать персональные данные Клиента о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, интимной жизни, за исключением случаев, предусмотренных законом. В частности, Организация вправе обрабатывать указанные персональные данные Клиента только с его письменного согласия.
Организация не вправе производить обработку данных о судимости Клиента.
5.1. Порядок обработки персональных данных:
- Субъект персональных данных предоставляет Организации достоверные сведения о себе.
- К обработке персональных данных Клиентов могут иметь доступ только сотрудники Организации, допущенные к работе с персональными данными Клиента и подписавшие Соглашение о неразглашении персональных данных Клиента.
- Право доступа к персональным данным Клиента в Организации имеют:
- Генеральный директор Организации;
- Работники, ответственные за ведение финансовых расчетов ( бухгалтер, главный бухгалтер).
- Работники Отдела по работе с Клиентами (начальник отдела продаж, менеджер отдела продаж, начальник отдела маркетинга, специалист отдела маркетинга).
- Работники IT (инженер электроник, системный администратор, руководитель службы системного администратора).
- Клиент, как субъект персональных данных.
- Поименный перечень сотрудников Организации, имеющих доступ к персональным данным Клиентов, определяется приказом Генерального директора Организации.
- Обработка персональных данных Клиента может осуществляться исключительно в целях установленных Положением и соблюдения законов и иных нормативных правовых актов РФ.
- При определении объема и содержания, обрабатываемых персональных данных Организация руководствоваться Конституцией Российской Федерации, законом о персональных данных, и иными федеральными законами.
5.2. Хранение персональных данных:
- Персональные данные Клиентов на бумажных носителях хранятся в организации.
- Персональные данные Клиентов в электронном виде хранятся в локальной компьютерной сети Организации, в электронных папках и файлах в персональном компьютере, расположенном в Организации. Доступ к файлам и информации имеют генеральный директор и сотрудники Организации, допущенные к обработке персональных данных Клиентов. Доступ к базе данных хранится с использованием средств электронной защиты, обеспечивающих защиту от несанкционированного доступа к информации;
- Документы, содержащие персональные данные Клиентов, хранятся в запирающихся шкафах, обеспечивающих защиту от несанкционированного доступа. В конце рабочего дня все документы, содержащие персональные данные Клиентов, помещаются в шкафы, обеспечивающие защиту от несанкционированного доступа путем запирания на замок.
- Защита доступа к электронным базам данных, содержащим персональные данные Клиентов, обеспечивается:
- Использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный вход в локальную сеть Организации.
- Разграничением прав доступа с использованием учетной записи.
- Доступ к ресурсам, содержащим персональные данные Клиентов, защищаются паролем, который устанавливается ответственным за ПК сотрудником Организации и сообщается Системному администратору.
- Копировать и делать выписки персональных данных Клиента разрешается исключительно в служебных целях с письменного разрешения Генерального директора Организации.
- Ответы на письменные запросы других организаций и учреждений о персональных данных Клиентов даются только с письменного согласия самого Клиента, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Организации, и в том объеме, который позволяет не разглашать излишний объем персональных данных Клиента.
6. Обязанности Организации
В целях обеспечения прав и свобод человека и гражданина Организация при обработке персональных данных Клиента обязана соблюдать следующие общие требования:
- обработка персональных данных Клиента может осуществляться исключительно в целях оказания законных услуг Клиентам;
- персональные данные Клиента следует получать у него самого. Если персональные данные клиента возможно получить только у третьей стороны, то клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие;
- сотрудники Организации должны сообщить клиентам о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа клиента дать письменное согласие на их получение;
- Организация не имеет права получать и обрабатывать персональные данные Клиента о его расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законом. В частности, Организация вправе обрабатывать указанные персональные данные Клиента только с его письменного согласия;
- при наличии надлежащим образом оформленного запроса предоставлять Клиенту доступ к его персональным данным;
- хранение и защита персональных данных Клиента от неправомерного их использования или утраты должна быть обеспечена Организацией за счет ее средств в порядке, установленном законодательством;
- в случае выявления недостоверных персональных данных или неправомерных действий с ними при обращении или по запросу Клиента либо уполномоченного органа по защите прав субъектов персональных данных Организация обязана осуществить блокирование персональных данных на период проверки;
- в случае подтверждения факта недостоверности персональных данных Организация на основании документов, представленных Клиентом либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязана уточнить персональные данные и снять их блокирование;
- в случае обращение или запроса на уничтожение персональных данных, которые были направлены уполномоченным органом по защите прав субъектов персональных данных, Организация обязана уничтожить указанные данные в течение трех дней и уведомить об этом указанный орган;
- в случае отзыва Клиентом согласия на обработку своих персональных данных Организация обязана прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней, если иное не предусмотрено соглашением между Организацией и Клиентом. Об уничтожении персональных данных Организация обязана уведомить Клиента.
7. Права Клиента
- Право на доступ к информации о самом себе.
- Право на определение форм и способов обработки персональных данных.
- Право на отзыв согласия на обработку персональных данных.
- Право ограничивать способы и формы обработки персональных данных, запрет на распространение персональных данных без его согласия.
- Право требовать изменение, уточнение, уничтожение информации о самом себе.
- Право обжаловать неправомерные действия или бездействия по обработке персональных данных и требовать соответствующей компенсации в суде.
- Право определять представителей для защиты своих персональных данных.
- Право требовать от Организации уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные Клиента, обо всех произведенных в них изменениях или исключениях из них.
8. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
Работники Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующем законодательством Российской Федерации и внутренними локальными актами Организации.