ПОЛОЖЕНИЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ
1. Общие положения
1.1. Настоящее Положение устанавливает порядок сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, распространения (в том числе передачи), обезличивания, блокирования, уничтожения персональных данных клиентов общества с ограниченной «Специализированный застройщик «Флагман» (далее – Общество).
1.2. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», иными нормативными актами, действующими на территории Российской Федерации.
1.3. Целью данного Положения является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.4. Сбор, хранение, использование и распространение информации о частной жизни лица без письменного его согласия не допускаются. Персональные данные относятся к категории конфиденциальной информации.
1.5. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
1.6. Настоящее положение утверждается приказом генерального директора Общества и является обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным.
1.7. Настоящее Положение размещено на официальном сайте Общества flagman.city.
2. Основные понятия, используемые в настоящем Положении
2.1. Для целей настоящего Положения используются следующие основные понятия:
Оператор – юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Субъект персональных данных – физическое лицо, являющееся клиентом Общества либо представляющее интересы клиента – юридического лица, индивидуального предпринимателя.
Клиент – физическое лицо (в том числе: представитель физического лица, индивидуальный предприниматель, представитель индивидуального предпринимателя, руководитель или иной уполномоченный представитель юридического лица), находящееся в договорных отношениях с Обществом и предоставившее свои персональные данные для обработки в добровольном порядке.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или иного законного основания;
Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц или на ознакомление с персональными данными неограниченного круга лиц;
Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных работников;
Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
3. Состав персональных данных
3.1. Состав персональных данных клиента, обработка которых осуществляется Обществом:
- фамилия, имя, отчество;
- паспортные данные, включая номер паспорта, сведения о дате выдачи и выдавшем паспорт органе, дату рождения, место рождения, пол, адрес регистрации;
- данные паспорта или иного документа, удостоверяющего личность иностранного гражданина, включая номер, сведения о дате выдачи и выдавшем органе, срок действия, дату рождения, пол;
- данные миграционных документов Клиента – иностранного гражданина или лица без гражданства: визы, миграционной карты, уведомления Федеральной миграционной службы о месте пребывания;
- адрес регистрации иностранного гражданина в стране, гражданином которой он/она является;
- адрес местонахождения (места пребывания) Клиента;
- контактная информация, включая номера телефонов/факсов, адреса электронной почты;
- занимаемая(ые) должность(и) Клиента, членство в профессиональных и иных формальных организациях;
- сведения о доходах Клиента и их источниках;
- идентификационный номер налогоплательщика;
- номер счета в банках и иных кредитных организациях.
3.2. Указанные в пункте 3.1. персональные данные обрабатываются в целях исполнения обязательств Общества по договорам, заключенным с Клиентами.
3.3. В Обществе могут создаваться (создаются, собираются) и хранятся следующие документы и сведения, в том числе в электронном виде, содержащие данные о Клиентах:
- договоры и дополнительные соглашения к ним;
- акты выполненных работ;
- копии документов, удостоверяющих личность, а также иных документов, предоставляемых Клиентом, и содержащих персональные данные;
- документы, содержащие платежные и иные реквизиты Клиента;
- иные документы, необходимые для осуществления взаимодействия Общества с Клиентом.
4. Конфиденциальность персональных данных
4.1. Сведения, перечисленные в пункте 3 настоящего Положения, являются конфиденциальными. Общество обеспечивает конфиденциальность персональных данных и обязано не допускать их распространения без согласия Клиентов, либо наличия иного законного основания.
4.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных Клиентов распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
4.3. Режим конфиденциальности персональных данных снимается в случаях обезличивания или опубликования их в общедоступных источниках (СМИ, Интернет, ЕГРЮЛ и иных публичных государственных реестрах).
5. Права и обязанности оператора персональных данных
5.1. Обработка персональных данных Клиентов осуществляется Обществом с согласия субъектов персональных данных, за исключением случаев, предусмотренных пунктом 5.2 настоящего раздела. Обязанность представить доказательство получения согласия на обработку персональных данных по основаниям данного пункта в соответствии с законом возлагается на Оператора.
5.2. Общество имеет право без согласия субъекта персональных данных осуществлять обработку его персональных данных в следующих случаях:
- обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
5.3. В целях обеспечения прав и свобод человека и гражданина Общество и его сотрудники при обработке персональных данных Клиента обязаны соблюдать следующие общие требования.
- при определении объема и содержания персональных данных Клиента подлежащих обработке, сотрудники Общества руководствуются Федеральным законом «О персональных данных». Общество получает персональные данные Клиента только в объеме, необходимом для достижения законных целей сбора и обработки персональных данных.
- сотрудники Общества не должны обрабатывать не являющиеся общедоступными персональные данные Клиента о его судимости, политических, религиозных и иных убеждениях и частной жизни.
5.4. Общество обеспечивает защиту персональных данных Клиента от неправомерного их использования или утраты за собственный счет в порядке, установленном федеральным законодательством.
5.5. В случае, если Общество на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
6. Права субъекта персональных данных
6.1. Субъект персональных данных имеет право на получение сведений об Операторе, о месте его нахождения, о наличии у Оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными. Субъект персональных данных вправе требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
6.3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю Обществом при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя.
6.4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных Оператором, а также цель такой обработки;
2) способы обработки персональных данных, применяемые Оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
6.5. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, ограничить способы и формы обработки персональных данных, запретить распространение персональных данных без его согласия.
6.6. Субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
6.7. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.
7. Обработка персональных данных
7.1. Обработка персональных данных осуществляется Оператором исключительно для достижения целей, определенных настоящим Положением.
7.2. Обработка персональных данных Клиентов производится с их письменного согласия, которое является неотъемлемой частью заключаемого с таким Клиентом договора.
7.3. Обработка персональных данных осуществляется Оператором в течение срока действия договора, заключенного с Клиентом.
7.4. Обработка персональных данных Оператором заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа.
7.5. Обработка персональных данных ведется методом смешанной (в том числе автоматизированной) обработки.
7.6. К обработке персональных данных Клиента могут иметь доступ только сотрудники Общества, чьи трудовые обязанности непосредственно связаны с доступом и работой с персональными данными Клиента.
7.7. В случае соответствующего обращения субъекта персональных данных, Оператор обязан произвести необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет Оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
О внесенных изменениях и предпринятых мерах Оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.
8. Передача персональных данных
8.1. Передача персональных данных осуществляется Оператором исключительно в случае необходимости исполнения заключенного с Клиентом договора.
8.2. Передача персональных данных третьим лицам осуществляется Оператором только на основании соответствующего договора, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
Данное положение не распространяется в случае обезличивания персональных данных и в отношении общедоступных персональных данных.
8.3. Передача персональных данных государственным органам осуществляется в рамках их полномочий в соответствии с действующим законодательством.
9. Хранение персональных данных
9.1. Персональные данные, указанные в настоящем Положении могут храниться, как на бумажных носителях, так и в электронном виде.
9.2. Сведения о Клиентах хранятся на бумажных носителях в помещении Общества в специально оборудованных шкафах.
9.3. Персональные данные Клиентов в электронном виде должны храниться таким образом, чтобы исключить несанкционированный доступ к ним со стороны третьих лиц.
9.4. Хранение персональных данных Клиента должно осуществляться в форме, позволяющей определить Клиента, не дольше, чем этого требуют цели обработки персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
9.5. Сроки хранения гражданско-правовых договоров, содержащих персональные данные Клиентов, а также сопутствующих их заключению, исполнению документов - 5 лет с момента окончания действия договоров.
9.6. В течение срока хранения персональные данные не могут быть обезличены или уничтожены.
9.7. По истечении срока хранения персональные данные могут быть обезличены в информационных системах и уничтожены на бумажном носителе в порядке, установленном в Положении и действующем законодательстве Российской Федерации.
10. Ответственность за разглашение информации, содержащей персональные данные клиента
10.1. Сотрудники Общества, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.
11.Заключительные положения
11.1. Общество оставляет за собой право вносить изменения в настоящее Положение. Изменения вносятся путем утверждения новой редакции настоящего Положения. С момента утверждения новой редакции Положения, предыдущая редакция теряет силу.
11.2. Иные локальные нормативные акты Общества должны издаваться в соответствии с настоящим Положением и законодательством в области персональных данных.
11.3. Вопросы, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации.
11.4. Сотрудники Общества должны быть ознакомлены с настоящим Положением под роспись