ПОЛОЖЕНИЕ
о персональных данных клиентов ООО «ВЕТЦ»
- ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным (далее ПД) клиентов ООО «ВЕТЦ» (далее Общества). Под клиентами подразумеваются лица, которым Общество оказывает услуги.
1.2. Цель настоящего Положения — защита ПД клиентов Общества от несанкционированного доступа и разглашения. ПД всегда являются конфиденциальной, строго охраняемой информацией.
1.3. Основанием для разработки настоящего Положения являются Конституция РФ, Федеральный Закон «О персональных данных», с изменениями, вступившими в силу, другие действующие нормативно-правовые акты РФ.
1.4. Настоящее Положение и изменения к нему утверждаются директором Общества и вводятся приказом по предприятию.
- ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Под ПД клиентов понимается информация необходимая Обществу и его сотрудникам для оказания должных услуг.
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
Состав персональных данных клиентов:
— Ф.И.О.
— номер телефона
— адрес места жительства
2.2. Данный состав данных является конфиденциальными. Режим конфиденциальности ПД снимается в случаях обезличивания, в отношении общедоступных персональных данных или по истечении установленного федеральным законом сроков хранения документов, относящихся к персональным данным клиента.
2.3. В целях информационного обеспечения могут создаваться источники ПД (справочники).
2.4. Сведения о клиенте могут быть в любое время исключены из источников ПД по требованию клиента либо по решению суда или иных уполномоченных государственных органов.
- ОБЯЗАННОСТИ ОБЩЕСТВА
3.1. В целях обеспечения прав и свобод человека и гражданина Общество и его представители при обработке ПД клиента обязаны соблюдать следующие общие требования:
3.2. Обработка ПД клиента может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, а так же для формирования персональных скидочных предложений.
3.3. При определении объема и содержания, обрабатываемых ПД клиента Общество и его представители должны руководствоваться Конституцией РФ, Федеральным законом «О персональных данных» и иными федеральными законами.
3.4. Все ПД клиента Общество получает в добровольном порядке, от воли клиента и его интересах, который даёт согласие на обработку, в том числе на сбор, систематизацию, накопление, хранение (уточнение, обновление, изменение), использование, передачу третьим лицам, обезличивание, блокирование и уничтожение его ПД – фамилии, имени, отчества, даты рождения, адреса, номера контактного телефона, адреса электронной почты Обществу с целью предоставления ему товаров и услуг.
3.5. Общество не имеет права получать и обрабатывать ПД клиента о его политических, религиозных и иных убеждениях и частной жизни.
3.6. Защита ПД клиента от неправомерного их использования или утраты должна быть обеспечена Обществом за счет его средств в порядке, установленном федеральным законом.
3.7. Работники Общества и их представители должны быть ознакомлены под роспись с документами предприятия, устанавливающими порядок обработки ПД клиентов, а также об их правах и обязанностях в этой области.
3.8. Работники не должны отказываться от своих прав на сохранение и защиту тайны.
- ПРАВА КЛИЕНТА
4.1. Клиент, ПД которого обрабатываются Обществом и его представителями, имеет право:
— требовать от Общества уточнения своих ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
— отозвать свое согласие на обработку ПД в любой момент;
— требовать устранения неправомерных действий Общества в отношении его ПД;
— обжаловать действия или бездействие Компании в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если субъект ПД считает, что Компания осуществляет обработку его ПД с нарушением требований Закона или иным образом нарушает его права и свободы;
— на защиту своих прав и законных интересов.
4.2. Общество и его представители в процессе обработки ПД обязано:
— предоставлять клиенту по его запросу информацию, касающуюся обработки его ПД, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса от клиента или его представителя;
— разъяснить клиенту юридические последствия отказа предоставить ПД, если предоставление данных является обязательным в соответствии с федеральным законом;
— до начала обработки ПД (если данные получены не от клиента) предоставить клиенту следующую информацию, за исключением случаев, предусмотренных частью 4 статьи 18 Закона:
1) наименование, либо фамилия, имя, отчество и адрес Общества или его представителя;
2) цель обработки ПД и ее правовое основание;
3) предполагаемые пользователи ПД;
4) установленные Законом права клиента;
5) источник получения ПД.
— принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
— опубликовать в сети интернет на сайтах univet-clinic.ruи обеспечить неограниченный доступ с использованием сети интернет к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите данных;
— осуществить блокирование неправомерно обрабатываемых ПД, относящихся к клиенту, или обеспечить их блокирование (если обработка ПД осуществляется другим лицом, действующим по поручению Общества) с момента обращения или получения запроса на период проверки, в случае выявления неправомерной обработки ПД при обращении клиента.
— уточнить ПД, либо обеспечить их уточнение (если обработка данных осуществляется другим лицом, действующим по поручению Общества) в течение 7 рабочих дней со дня представления
— сведений и снять блокирование ПД, в случае подтверждения факта неточности данных на основании сведений, представленных клиентом или его представителем;
— прекратить неправомерную обработку ПД или обеспечить прекращение неправомерной обработки ПД лицом, действующим по поручению Общества, в случае выявления неправомерной обработки ПД, осуществляемой Обществом или лицом, действующим на основании договора с Обществом, в срок, не превышающий 3 рабочих дней, с даты этого выявления;
— прекратить обработку ПД клиента или обеспечить ее прекращение (если обработка ПД осуществляется другим лицом, действующим по договору с Обществом) и уничтожить ПД или обеспечить их уничтожение (если обработка ПД осуществляется другим лицом, действующим по договору с Обществом) по достижению цели обработки ПД, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является клиент, в случае достижения цели обработки ПД;
— прекратить обработку ПД клиента или обеспечить ее прекращение и уничтожить ПД или обеспечить их уничтожение в случае отзыва клиентом согласия на обработку ПД, если Общество не вправе осуществлять обработку данных без согласия клиента;
- СБОР, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка ПД клиента — это получение, хранение, комбинирование, передача или любое другое использование ПД.
5.2. Все ПД клиента следует получать у него самого. Если ПД клиента возможно получить только у третьей стороны, то клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
5.3. Все ПД клиента Общество получает в добровольном порядке, от воли клиента и его интересах. Клиент даёт согласие на обработку, в том числе на сбор, систематизацию, накопление, хранение (уточнение, обновление, изменение), использование, передачу третьим лицам, обезличивание, блокирование и уничтожение его персональных данных – фамилии, имени, отчества, даты рождения, адреса, номера контактного телефона, адреса электронной почты Обществу с целью предоставления ему товаров и услуг, включая, но не ограничиваясь: идентификацией участника в программе лояльности, осуществление доставки, распространения информационных и рекламных сообщений (по SMS, электронной почте, телефону, иным средствам связи), получения обратной связи.
- ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. При передаче ПД клиентов Общество должно соблюдать следующие требования:
6.1.1. не передавать ПД клиентов третьей стороне без письменного согласия клиентов, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральным законом;
6.1.2. не передавать ПД клиентов третьим лицам в коммерческих целях, без его письменного согласия;
6.1.3. предупреждать третьих лиц, получающих ПД клиентов, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПД клиентов, обязаны соблюдать конфиденциальность.
6.1.4. разрешать доступ к ПД клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПД, которые необходимы для выполнения конкретных функций;
- ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
7.1. Внутренний доступ (доступ внутри предприятия).
Доступ к ПД клиентов имеют:
— директор Общества
— иные сотрудники Общества, утвержденные приказом;
— сами клиенты, носители данных.
7.2. Внешний доступ.
ПД вне организации могут представляться в государственные и негосударственные функциональные структуры в соответствии с законодательством:
— налоговые инспекции;
— правоохранительные органы;
- ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. В целях обеспечения сохранности и конфиденциальности ПД клиентов Общества все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только уполномоченными работниками, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.
8.2. Передача информации, содержащая сведения о ПД клиентов Общества без письменного согласия клиентов запрещается, за исключением случаев предусмотренных действующим законодательством РФ
8.3. Информация, относящаяся к ПД клиентов хранится в электронном виде, в базе данных Общества. Доступ к электронной базе данных клиентов, обеспечивается двухфакторной системой авторизации: на уровне доменной учетной записи и на уровне баз данных. Доступ в помещения, где установлено серверное и сетевое оборудование, ограничен и определяется должностными инструкциями работников.
8.3. Персональные компьютеры, в которых содержатся ПД, защищены паролями доступа.
8.4. Ответственность по обеспечению технической защиты базы ПД лежит на генеральном директоре общества.
8.6. Ответственность по контролю мер информационной безопасности лежит на генеральном директоре общества.
- ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ, СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
9.1. Лица, имеющие доступ к ПД, подписывают Обязательство о неразглашении ПД клиентов.
9.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПД, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.