Положение о защите персональных данных

ПОЛОЖЕНИЕ

о персональных данных клиентов торговой сети «Belaton»


1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным (далее ПД) клиентов торговой сети «Belaton» (далее ТС). Под клиентами подразумеваются лица, которым ТС оказывает услуги.

1.2. Цель настоящего Положения - защита ПД клиентов ТС от несанкционированного доступа и разглашения. ПД всегда являются конфиденциальной, строго охраняемой информацией.

1.3. Основанием для разработки настоящего Положения являются Конституция РФ, Федеральный Закон «О персональных данных», с изменениями, вступившими в силу, другие действующие нормативно-правовые акты РФ.

1.4. Настоящее Положение и изменения к нему утверждаются руководством ТС и утверждаются Руководителем.


2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Под ПД клиентов понимается информация необходимая ТС и её сотрудникам для оказания должных услуг.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Состав персональных данных клиентов:

- Ф.И.О.

- пол

- паспортные данные

- номер телефона

- e-mail

- адрес места жительства

2.2. Данный состав данных является конфиденциальными. Режим конфиденциальности ПД снимается в случаях обезличивания, в отношении общедоступных персональных данных или по истечении установленного федеральным законом сроков хранения документов, относящихся к персональным данным клиента.

2.4. В целях информационного обеспечения могут создаваться источники ПД (справочники).

2.5. Сведения о клиенте могут быть в любое время исключены из источников ПД по требованию клиента либо по решению суда или иных уполномоченных государственных органов.


3. ОБЯЗАННОСТИ ТС

3.1. В целях обеспечения прав и свобод человека и гражданина Общество и его представители при обработке ПД клиента обязаны соблюдать следующие общие требования:

3.2. Обработка ПД клиента может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, а также для формирования персональных скидочных предложений.

3.3. При определении объема и содержания, обрабатываемых ПД клиента ТС и её представители должны руководствоваться Конституцией РФ, Федеральным законом «О персональных данных» и иными федеральными законами.

3.4. Все ПД клиента ТС получает в добровольном порядке, от воли клиента и его интересах, который даёт согласие на обработку, в том числе на сбор, систематизацию, накопление, хранение (уточнение, обновление, изменение), использование, передачу третьим лицам, обезличивание, блокирование и уничтожение его ПД – фамилии, имени, отчества, даты рождения, адреса, номера контактного телефона, адреса электронной почты ТС с целью предоставления ему товаров и услуг

3.5. ТС не имеет права получать и обрабатывать ПД клиента о его политических, религиозных и иных убеждениях и частной жизни.

3.6. Защита ПД клиента от неправомерного их использования или утраты должна быть обеспечена ТС за счет его средств в порядке, установленном федеральным законом.

3.7. Работники ТС и её представители должны быть ознакомлены под роспись с документами предприятия, устанавливающими порядок обработки ПД клиентов, а также об их правах и обязанностях в этой области.

3.8. Работники не должны отказываться от своих прав на сохранение и защиту тайны.


4. ПРАВА КЛИЕНТА

4.1. Клиент, ПД которого обрабатываются ТС и его представителями, имеет право:

- требовать от ТС уточнения своих ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- отозвать свое согласие на обработку ПД в любой момент;

- требовать устранения неправомерных действий ТС в отношении его ПД;

- обжаловать действия или бездействие Компании в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если субъект ПД считает, что Компания осуществляет обработку его ПД с нарушением требований Закона или иным образом нарушает его права и свободы;

- на защиту своих прав и законных интересов.

4.2. ТС и её представители в процессе обработки ПД обязано:

- предоставлять клиенту по его запросу информацию, касающуюся обработки его ПД, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса от клиента или его представителя;

- разъяснить клиенту юридические последствия отказа предоставить ПД, если предоставление данных является обязательным в соответствии с федеральным законом;

- до начала обработки ПД (если данные получены не от клиента) предоставить клиенту следующую информацию, за исключением случаев, предусмотренных частью 4 статьи 18 Закона:

1) наименование, либо фамилия, имя, отчество и адрес ТС или его представителя;

2) цель обработки ПД и ее правовое основание;

3) предполагаемые пользователи ПД;

4) установленные Законом права клиента;

5) источник получения ПД.

- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;

- опубликовать в сети интернет на сайтe belaton.ru и обеспечить неограниченный доступ с использованием сети интернет к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите данных;

- осуществить блокирование неправомерно обрабатываемых ПД, относящихся к клиенту, или обеспечить их блокирование (если обработка ПД осуществляется другим лицом, действующим по поручению ТС) с момента обращения или получения запроса на период проверки, в случае выявления неправомерной обработки ПД при обращении клиента.

- уточнить ПД, либо обеспечить их уточнение (если обработка данных осуществляется другим лицом, действующим по поручению ТС) в течение 7 рабочих дней со дня представления

- сведений и снять блокирование ПД, в случае подтверждения факта неточности данных на основании сведений, представленных клиентом или его представителем;

- прекратить неправомерную обработку ПД или обеспечить прекращение неправомерной обработки ПД лицом, действующим по поручению ТС, в случае выявления неправомерной обработки ПД, осуществляемой Обществом или лицом, действующим на основании договора с Обществом, в срок, не превышающий 3 рабочих дней, с даты этого выявления;

- прекратить обработку ПД клиента или обеспечить ее прекращение (если обработка ПД осуществляется другим лицом, действующим по договору с Обществом) и уничтожить ПД или обеспечить их уничтожение (если обработка ПД осуществляется другим лицом, действующим по договору с Обществом) по достижению цели обработки ПД, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является клиент, в случае достижения цели обработки ПД;

- прекратить обработку ПД клиента или обеспечить ее прекращение и уничтожить ПД или обеспечить их уничтожение в случае отзыва клиентом согласия на обработку ПД, если Общество не вправе осуществлять обработку данных без согласия клиента;


5. СБОР, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка ПД клиента — это получение, хранение, комбинирование, передача или любое другое использование ПД.

5.2. Все ПД клиента следует получать у него самого. Если ПД клиента возможно получить только у третьей стороны, то клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

5.3. Все ПД клиента Общество получает в добровольном порядке, от воли клиента и его интересах. Клиент даёт согласие на обработку, в том числе на сбор, систематизацию, накопление, хранение (уточнение, обновление, изменение), использование, передачу третьим лицам, обезличивание, блокирование и уничтожение его персональных данных – фамилии, имени, отчества, даты рождения, адреса, номера контактного телефона, адреса электронной почты ТС с целью предоставления ему товаров и услуг, включая, но не ограничиваясь: идентификацией участника в программе лояльности Клуба города товаров, обеспечения процедуры начисления, учета и расходования бонусов, осуществление доставки, распространения информационных и рекламных сообщений (по SMS, электронной почте, телефону, иным средствам связи), получения обратной связи.


6. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. При передаче ПД клиентов ТС должна соблюдать следующие требования:

6.1.1. не передавать ПД клиентов третьей стороне без письменного согласия клиентов, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральным законом;

6.1.2. не передавать ПД клиентов третьим лицам в коммерческих целях, без его письменного согласия;

6.1.3. предупреждать третьих лиц, получающих ПД клиентов, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПД клиентов, обязаны соблюдать конфиденциальность.

6.1.4. разрешать доступ к ПД клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПД, которые необходимы для выполнения конкретных функций;


7. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

7.1. Внутренний доступ (доступ внутри предприятия).

Доступ к ПД клиентов имеют:

- руководство ТС

- иные сотрудники ТС, утвержденные приказом;

- сами клиенты, носители данных.

7.2. Внешний доступ.

ПД вне организации могут представляться в государственные и негосударственные функциональные структуры в соответствии с законодательством:

- налоговые инспекции;

- правоохранительные органы;


8. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. В целях обеспечения сохранности и конфиденциальности ПД клиентов ТС все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только уполномоченными работниками, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.

8.2. Передача информации, содержащая сведения о ПД клиентов ТС без письменного согласия клиентов запрещается, за исключением случаев, предусмотренных действующим законодательством РФ

8.3. Информация, относящаяся к ПД клиентов, хранится в электронном виде, в базе данных ТС. Доступ к электронной базе данных клиентов, обеспечивается двухфакторной системой авторизации: на уровне доменной учетной записи и на уровне баз данных. Доступ в помещения, где установлено серверное и сетевое оборудование, ограничен и определяется должностными инструкциями работников.

8.3. Персональные компьютеры, в которых содержатся ПД, защищены паролями доступа.

8.4. ТС обязана ознакомить под подпись персонал, имеющий доступ к ПД клиентов, в том числе, но не ограничиваясь: руководство ТС, менеджеров ТС и операторов программы лояльности клиентов, сотрудников ТС, занимающихся обработкой интернет-заказов с «Положением об обработке и защите персональных данных».

8.5. Ответственность по обеспечению технической защиты базы ПД лежит на сотрудниках центрального офиса ТС, администраторах и работниках филиалов (магазинов) ТС.

8.6. Ответственность по контролю мер информационной безопасности лежит на Руководстве ТС.


9. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ,

СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

9.1. Лица, имеющие доступ к ПД, подписывают Обязательство о неразглашении ПД клиентов.

9.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПД, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.