Персональные данные

ПОЛОЖЕНИЕ о персональных данных клиентов ГК «Промресурс»

1.1. Настоящее Положение устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным (далее ПД) клиентов ГК «Промресурс» (далее Общества). Под клиентами подразумеваются лица, которым Общество оказывает услуги.

1.2. Цель настоящего Положения — защита ПД клиентов Общества от несанкционированного доступа и разглашения. ПД всегда являются конфиденциальной, строго охраняемой информацией.

1.3. Основанием для разработки настоящего Положения являются Конституция РФ, Федеральный Закон «О персональных данных», с изменениями, вступившими в силу, другие действующие нормативно-правовые акты РФ.

1.4. Настоящее Положение и изменения к нему утверждаются директором Общества и вводятся приказом по предприятию.

2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Под ПД клиентов понимается информация необходимая Обществу и его сотрудникам для оказания должных услуг. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Состав персональных данных клиентов:

  • Ф.И.О.;
  • пол;
  • паспортные данные;
  • номер телефона;
  • e-mail;
  • адрес места жительства.

2.2. Данный состав данных является конфиденциальными. Режим конфиденциальности ПД снимается в случаях обезличивания, в отношении общедоступных персональных данных или по истечении установленного федеральным законом сроков хранения документов, относящихся к персональным данным клиента.

2.4. В целях информационного обеспечения могут создаваться источники ПД (справочники).

2.5. Сведения о клиенте могут быть в любое время исключены из источников ПД по требованию клиента либо по решению суда или иных уполномоченных государственных органов.

3. ОБЯЗАННОСТИ ОБЩЕСТВА

3.1. В целях обеспечения прав и свобод человека и гражданина Общество и его представители при обработке ПД клиента обязаны соблюдать следующие общие требования:

3.2. Обработка ПД клиента может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, а так же для формирования персональных скидочных предложений.

3.3. При определении объема и содержания, обрабатываемых ПД клиента Общество и его представители должны руководствоваться Конституцией РФ, Федеральным законом «О персональных данных» и иными федеральными законами.

3.4. Все ПД клиента Общество получает в добровольном порядке, от воли клиента и его интересах, который даёт согласие на обработку, в том числе на сбор, систематизацию, накопление, хранение (уточнение, обновление, изменение), использование, передачу третьим лицам, обезличивание, блокирование и уничтожение его ПД – фамилии, имени, отчества, даты рождения, адреса, номера контактного телефона, адреса электронной почты Обществу с целью предоставления ему товаров и услуг

3.5. Общество не имеет права получать и обрабатывать ПД клиента о его политических, религиозных и иных убеждениях и частной жизни.

3.6. Защита ПД клиента от неправомерного их использования или утраты должна быть обеспечена Обществом за счет его средств в порядке, установленном федеральным законом.

3.7. Работники Общества и их представители должны быть ознакомлены под роспись с документами предприятия, устанавливающими порядок обработки ПД клиентов, а также об их правах и обязанностях в этой области.

3.8. Работники не должны отказываться от своих прав на сохранение и защиту тайны.

4. ПРАВА КЛИЕНТА

4.1. Клиент, ПД которого обрабатываются Обществом и его представителями, имеет право:

  • требовать от Общества уточнения своих ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • отозвать свое согласие на обработку ПД в любой момент;
  • требовать устранения неправомерных действий Общества в отношении его ПД;
  • обжаловать действия или бездействие Компании в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если субъект ПД считает, что Компания осуществляет обработку его ПД с нарушением требований Закона или иным образом нарушает его права и свободы;
  • на защиту своих прав и законных интересов.

4.2. Общество и его представители в процессе обработки ПД обязано:

  • предоставлять клиенту по его запросу информацию, касающуюся обработки его ПД, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса от клиента или его представителя;
  • разъяснить клиенту юридические последствия отказа предоставить ПД, если предоставление данных является обязательным в соответствии с федеральным законом;
  • до начала обработки ПД (если данные получены не от клиента) предоставить клиенту следующую информацию, за исключением случаев, предусмотренных частью 4 статьи 18 Закона:
  1. наименование, либо фамилия, имя, отчество и адрес Общества или его представителя;
  2. цель обработки ПД и ее правовое основание;
  3. предполагаемые пользователи ПД;
  4. установленные Законом права клиента;
  5. источник получения ПД.
  • принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
  • опубликовать в сети интернет на сайтах europa-market.ru, europa-ts.ru, furshet.europa-market.ru, tort.europa-market.ru, rabota.europa-market.ru и обеспечить неограниченный доступ с использованием сети интернет к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите данных;
  • осуществить блокирование неправомерно обрабатываемых ПД, относящихся к клиенту, или обеспечить их блокирование (если обработка ПД осуществляется другим лицом, действующим по поручению Общества) с момента обращения или получения запроса на период проверки, в случае выявления неправомерной обработки ПД при обращении клиента;
  • уточнить ПД, либо обеспечить их уточнение (если обработка данных осуществляется другим лицом, действующим по поручению Общества) в течение 7 рабочих дней со дня представления
  • сведений и снять блокирование ПД, в случае подтверждения факта неточности данных на основании сведений, представленных клиентом или его представителем;
  • прекратить неправомерную обработку ПД или обеспечить прекращение неправомерной обработки ПД лицом, действующим по поручению Общества, в случае выявления неправомерной обработки ПД, осуществляемой Обществом или лицом, действующим на основании договора с Обществом, в срок, не превышающий 3 рабочих дней, с даты этого выявления;
  • прекратить обработку ПД клиента или обеспечить ее прекращение (если обработка ПД осуществляется другим лицом, действующим по договору с Обществом) и уничтожить ПД или обеспечить их уничтожение (если обработка ПД осуществляется другим лицом, действующим по договору с Обществом) по достижению цели обработки ПД, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является клиент, в случае достижения цели обработки ПД;
  • прекратить обработку ПД клиента или обеспечить ее прекращение и уничтожить ПД или обеспечить их уничтожение в случае отзыва клиентом согласия на обработку ПД, если Общество не вправе осуществлять обработку данных без согласия клиента.

5. СБОР, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка ПД клиента — это получение, хранение, комбинирование, передача или любое другое использование ПД.

5.2. Все ПД клиента следует получать у него самого. Если ПД клиента возможно получить только у третьей стороны, то клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

5.3. Все ПД клиента Общество получает в добровольном порядке, от воли клиента и его интересах. Клиент даёт согласие на обработку, в том числе на сбор, систематизацию, накопление, хранение (уточнение, обновление, изменение), использование, передачу третьим лицам, обезличивание, блокирование и уничтожение его персональных данных – фамилии, имени, отчества, даты рождения, адреса, номера контактного телефона, адреса электронной почты Обществу с целью предоставления ему товаров и услуг, включая, но не ограничиваясь: идентификацией участника в программе лояльности Клуба города товаров, обеспечения процедуры начисления, учета и расходования бонусов, осуществление доставки, распространения информационных и рекламных сообщений (по SMS, электронной почте, телефону, иным средствам связи), получения обратной связи.

5.4. Оператор прекращает обработку персональных данных в следующих случаях:

  • истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия.
  • выявлен факт их неправомерной обработки. Срок – в течение трех рабочих дней с даты выявления;
  • достигнута цель их обработки;

5.5. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор прекращает обработку этих данных, если:

  • иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
  • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами.

5.6. При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных з срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.

6. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. При передаче ПД клиентов Общество должно соблюдать следующие требования:

6.1.1. не передавать ПД клиентов третьей стороне без письменного согласия клиентов, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральным законом;

6.1.2. не передавать ПД клиентов третьим лицам в коммерческих целях, без его письменного согласия;

6.1.3. предупреждать третьих лиц, получающих ПД клиентов, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПД клиентов, обязаны соблюдать конфиденциальность.

6.1.4. разрешать доступ к ПД клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПД, которые необходимы для выполнения конкретных функций;

7. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

7.1. Внутренний доступ (доступ внутри предприятия).

Доступ к ПД клиентов имеют:

  • директор Общества
  • иные сотрудники Общества, утвержденные приказом;
  • сами клиенты, носители данных.

7.2. Внешний доступ.

ПД вне организации могут представляться в государственные и негосударственные функциональные структуры в соответствии с законодательством:

  • налоговые инспекции;
  • правоохранительные органы;

8. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. В целях обеспечения сохранности и конфиденциальности ПД клиентов Общества все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только уполномоченными работниками, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.

8.2. Передача информации, содержащая сведения о ПД клиентов Общества без письменного согласия клиентов запрещается, за исключением случаев предусмотренных действующим законодательством РФ

8.3. Информация, относящаяся к ПД клиентов хранится в электронном виде, в базе данных Общества. Доступ к электронной базе данных клиентов, обеспечивается двухфакторной системой авторизации: на уровне доменной учетной записи и на уровне баз данных. Доступ в помещения, где установлено серверное и сетевое оборудование, ограничен и определяется должностными инструкциями работников.

8.3. Персональные компьютеры, в которых содержатся ПД, защищены паролями доступа.

8.4. Общество обязано ознакомить под подпись персонал, имеющий доступ к ПД клиентов, в том числе, но не ограничиваясь: директора общества, маркетологов и операторов программы лояльности клиентов, сотрудников интернет-магазина, сотрудников супер –гипермаркетов, занимающихся обработкой интернет-заказов с «Положением об обработке и защите персональных данных».

8.5. Ответственность по обеспечению технической защиты базы ПД лежит на отделе информационных технологий головного подразделения, системных администраторах ОСП и Филиалов Общества.

8.6. Ответственность по контролю мер информационной безопасности лежит на службе безопасности.

9. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ, СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

9.1. Лица, имеющие доступ к ПД, подписывают Обязательство о неразглашении ПД клиентов.

9.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПД, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами