Положение о конфиденциальности
Термины и определения
1) персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
8) уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
9) обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
10) информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
11) трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1 Общие положения.
Настоящее Положение об организации работы с персональными данными в ООО «Дом Сервис» (далее – Положение) разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом “Об информации, информационных технологиях и о защите информации”, Федеральным законом 152-ФЗ “О персональных данных”, Постановлением Правительства РФ от 15.09.2008 N 687 “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”, иными федеральными законами.
1.1 Цель разработки Положения
Цель разработки положения – определение порядка обработки и защиты персональных данных всех субъектов персональных данных ООО «Дом Сервис», обрабатываемых, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
2 Состав персональных данных.
В состав персональных данных входят:
Для Клиентов (фамилия, имя, отчество, адрес, номер телефона, адрес
электронной почты, паспортные данные, данные о состоянии лицевого счета)
В ООО «Дом Сервис» могут создаваться (создаются, собираются) и храниться следующие документы и сведения, в том числе в электронном виде, содержащие данные о Клиентах:
- Договоры на обслуживание домофонной системы
- Заявления, претензии от клиентов
- Заявки по ремонту и обслуживанию оборудования
- Истории начислений и оплат по лицевому счету
- Данные по оплатам заказов (товаров/услуг), содержащие платежные и иные реквизиты Клиента.
- Записи телефонных переговоров и электронная переписка.
3 Цель обработки персональных данных.
Цель обработки персональных данных – осуществление комплекса действий направленных на достижение цели, в том числе:
- Оказание услуг по ремонту и обслуживанию аудио/видео домофона.
- Иные сделки, не запрещенные законодательством, а также комплекс действий с персональными данными, необходимых для исполнения вышеуказанных сделок.
- В целях исполнения требований законодательства РФ.
Условием прекращения обработки персональных данных является ликвидация Организации, истечение срока хранения документов в соответствии с законодательством (в том числе после прекращения договорных отношений с субъектом персональных данных).
4 Сбор, обработка и защита персональных данных.
4.1 Порядок получения (сбора) персональных данных:
4.1.1. Все персональные данные следует получать лично у субъекта персональных данных с его согласия. Обработка персональных данных осуществляется в целях заключения и исполнения договора, одной из сторон которого является субъект персональных данных, согласно п. 5 ч.1 ст.6 ФЗ 152 «О персональных данных» обработка осуществляется без письменного согласия субъекта персональных данных.
4.1.2. Если персональные данные Клиента возможно получить только у третьей стороны, Клиент может доверить третьему лицу передать персональные данные организации, при этом третье лицо обязано предоставить доверенность..
4.1.3. Организация не имеет права получать и обрабатывать персональные данные о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.
4.2 Порядок обработки персональных данных:
4.2.1. Субъект персональных данных предоставляет Организации достоверные сведения о себе.
4.2.2. К обработке персональных данных могут иметь доступ только сотрудники Организации, допущенные к работе с персональными данными и подписавшие Соглашение о неразглашении персональных данных.
4.2.3. Право доступа к персональным данным в Организации имеют:
- Директор ООО «Дом Сервис»
- Главный Бухгалтер
- Офисные работники
- Мастера по ремонту и обслуживанию оборудования
- Сам субъект персональных данных.
4.2.4. Обработка персональных данных может осуществляться исключительно в целях установленных Положением и соблюдения законов и иных нормативных правовых актов РФ.
4.2.5. При определении объема и содержания, обрабатываемых персональных данных ООО «Дом Сервис» руководствуется Конституцией Российской Федерации, законом о персональных данных, и иными федеральными законами.
4.3 Хранение персональных данных:
4.4.1. Документы, содержащие персональные данные клиентов и сотрудников, хранятся в специально отведенных местах, обеспечивающих защиту от несанкционированного доступа. В конце рабочего дня все документы, содержащие персональные данные, помещаются в специально отведенные места, офисное помещение сдается под охрану.
4.4.2. Защита доступа к электронным базам данных, содержащим персональные данные Клиентов, обеспечивается:
- Использованием лицензированных антивирусных программ.
- Разграничением прав доступа с использованием учетной записи.
- Двух ступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются директором Организации и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным Клиентов.
4.4.3.Копировать и делать выписки персональных данных разрешается исключительно в целях исполнения договорных отношений и выполнения требований законодательства РФ.
4.4.4. Ответы на письменные запросы других организаций и учреждений о персональных данных клиентов или сотрудников даются только с письменного согласия самого субъекта персональных данных, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Организации, и в том объеме, который позволяет не разглашать излишний объем персональных данных.
4.4 Сроки хранения документов, содержащих персональные данные
4.5.1. Обработка персональных данных клиентов прекращается по истечении 5 лет после расторжения договора на техническое обслуживание.
4.5.2. Обработка персональных данных прекращается по истечении пяти лет после окончания трудового договора работника. В дальнейшем бумажные носители персональных данных находятся на архивном хранении (постоянно или 75 лет), а персональные данные работников на электронных носителях удаляются из информационной системы.
5 Права и ответственность сторон
5.1 Права оператора персональных данных
Организация вправе:
- Отстаивать свои интересы в суде.
- Предоставлять персональные данные субъектов персональных данных третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.).
- Отказать в предоставлении персональных данных в случаях, предусмотренных законом.
- Использовать персональные данные без согласия субъекта персональных данных, в случаях предусмотренных законодательством РФ.
5.2 Права субъекта персональных данных
Клиент имеет право:
- Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- Требовать перечень обрабатываемых персональных данных, имеющихся в Организации и источник их получения.
- Получать информацию о сроках обработки персональных данных, в том числе о сроках их хранения.
- Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
- Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.
5.3 Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
Сотрудники Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством Российской Федерации и внутренними локальными актами Организации.