Регламент о защите персональных данных клиентов Ledmonster
1. Общие положения
1.1. Настоящий Регламент разработан в соответствии с требованиями Федерального закона «О персональных данных» № 152-ФЗ.
1.2. Настоящим Регламентом определяется порядок обращения с персональными данными покупателей-клиентов Торговой марки Ledmonster (далее – Компания).
1.3. Упорядочение обращения с персональными данными имеет целью обеспечить соблюдение законных прав и интересов Компании и клиентов в связи с необходимостью получения (сбора), систематизации (комбинирования), хранения и передачи сведений, составляющих персональные данные.
1.4. Персональные данные клиента - любая информация, относящаяся к конкретному субъекту персональных данных и необходимая Компании.
1.5. Сведения о персональных данных клиентов относятся к числу конфиденциальных (составляющих охраняемую законом тайну Компании). Режим конфиденциальности в отношении персональных данных снимается:
• В случае их обезличивания;
• По истечении 75 лет срока их хранения;
• В других случаях, предусмотренных федеральными законами.
2. Основные понятия. Состав персональных данных клиентов
2.1. Для целей настоящего Регламента используются следующие основные понятия:
• Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
• Обработка персональных данных клиента - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
• Распространение персональных данных - действия, направленные на раскрытие персональных данных клиента неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
• Предоставление персональных данных - действия, направленные на раскрытие персональных данных клиента определенному лицу или определенному кругу лиц (п. 6 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
• Блокирование персональных данных - временное прекращение обработки персональных данных клиентов (за исключением случаев, если обработка необходима для уточнения персональных данных) (п. 7 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
• Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных клиента и (или) в результате которых уничтожаются материальные носители персональных данных клиентов (п. 8 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
• Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному лицу (п. 9 ст. 3 Федерального закона от 27.07.2006 N 152- ФЗ);
• Информация - сведения (сообщения, данные) независимо от формы их представления;
• Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
3. Обработка персональных данных клиентов
3.1. Источником информации обо всех персональных данных клиентов является непосредственно клиент. Если персональные данные возможно получить только у третьей стороны, то Компания должна быть заранее в письменной форме уведомлена об этом.
3.2. Компания не имеет права получать и обрабатывать персональные данные клиента о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ Компания вправе получать и обрабатывать данные о частной жизни клиента только с его письменного согласия.
3.3. Обработка персональных данных клиентов возможна только с их согласия, либо без их согласия в следующих случаях:
• Персональные данные являются общедоступными;
Персональные данные относятся к состоянию здоровья клиента, и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия клиента невозможно;
• По требованию полномочных государственных органов - в случаях, предусмотренных федеральным законом.
3.4. Компания вправе обрабатывать персональные данные клиентов только с их письменного согласия.
3.5. Письменное согласие клиента на обработку своих персональных данных должно включать в себя:
фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
цель обработки персональных данных;
перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
3.6. Согласие клиента не требуется в следующих случаях:
• Обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия Компании;
• Обработка персональных данных в целях исполнения договора;
Обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
• Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов клиента, если получение его согласия невозможно.
3.7. Клиент представляет Компании достоверные сведения о себе.
3.8. В соответствии со ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина руководитель Компании и его законные, полномочные представители при обработке персональных данных клиента должны выполнять следующие общие требования:
3.8.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.8.2. При определении объема и содержания обрабатываемых персональных данных Компания должна руководствоваться Конституцией РФ и иными федеральными законами.
3.8.3. При принятии решений, затрагивающих интересы клиента, Компания не имеет права основываться на персональных данных, полученных о нем исключительно в результате их автоматизированной обработки или электронного получения.
3.8.4. Защита персональных данных клиента от неправомерного их использования, утраты обеспечивается Компанией за счет ее средств в порядке, установленном федеральным законом.
3.8.5. Во всех случаях отказ клиента от своих прав на сохранение и защиту тайны недействителен.
4. Передача персональных данных
4.1. При передаче персональных данных клиента, Компания должна соблюдать следующие требования:
4.1.1. Не сообщать персональные данные третьей стороне без письменного согласия клиента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью клиента, а также в случаях, установленных федеральным законом.
4.1.2. Не сообщать персональные данные клиента в коммерческих целях без его письменного согласия. Обработка персональных данных клиентов в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
4.1.3. Предупредить лиц, получивших персональные данные клиента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные клиента, обязаны соблюдать режим секретности (конфиденциальности). Данный Регламент не распространяется на обмен персональными данными клиентов в порядке, установленном федеральными законами.
4.1.4. Осуществлять передачу персональных данных клиентов в пределах Компании в соответствии с настоящим Регламентом.
4.1.5. Разрешать доступ к персональным данным клиентам только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
4.1.6. Не запрашивать информацию о состоянии здоровья клиента, за исключением тех сведений, которые относятся к вопросу о возможности выполнения клиентом своих обязанностей.
4.1.7. Передавать персональные данные клиента его законным, полномочным представителям в порядке, установленном законом и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
4.2. Персональные данные клиентов обрабатываются и хранятся по адресу местонахождения Компании.
4.3. Персональные данные компании могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).
5. Доступ к персональным данным клиентов, условия хранения персональных данных
5.1. Право доступа к персональным данным клиентов имеют:
• Руководитель Компании;
• Работники отдела кадров;
• Работники бухгалтерии;
• Начальник отдела экономической безопасности (информация о фактическом месте проживания и контактные телефоны клиентов);
• Начальник отдела внутреннего контроля (доступ к персональным данным в ходе плановых проверок);
• Руководители структурных подразделений по направлению деятельности.
5.2.Хранение персональных данных клиентов осуществляется на электронных а также при необходимости на бумажных носителях.
5.3. Документы персонального характера хранятся в сейфах подразделений, ответственных за ведение и хранение таких документов.
5.4. Помещения, в которых хранятся персональные данные клиентов, оборудуются запирающими устройствами. Доступ к ЭВМ, на которых осуществляется обработка персональных данных, находится под защитой паролей.
5.5. Клиент имеет право:
5.5.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные.
5.5.2. Требовать от Компании уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для Компании персональных данных.
5.5.3. Получать от Компании:
• Сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
• Перечень обрабатываемых персональных данных и источник их получения;
• Сроки обработки персональных данных, в том числе сроки их хранения;
• Сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
5.5.4. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Компании при обработке и защите его персональных данных.
5.5.5. Копировать и делать выписки персональных данных клиента разрешается исключительно в служебных целях с письменного разрешения руководителя Компании.
6. Ответственность за нарушение норм, регулирующих обработку персональных данных
6.1. Работники Компании, виновные в нарушении порядка обращения с персональными данными, несут ответственность в соответствии с действующим законодательством Российской Федерации.
6.2. Руководитель Компании за нарушение порядка обращения с персональными данными несет административную ответственность согласно ст. ст. 5.27 и 5.39 КоАП РФ.
7. Заключительные положения
7.1. Настоящий Регламент является общедоступным документов, с содержанием которого вправе ознакомиться физические и юридические лица, вступающие в договорные отношения с Торговой маркой Ledmonster
7.2. Неотъемлемой частью настоящего Регламента являются:
• Образец заполнения согласия лица на обработку персональных данных;
• Текст Федерального закона «О персональных данных» № 152-ФЗ (в действующей редакции).
7.3. Подписываясь в ознакомлении настоящего Регламента, клиенты обязуются соблюдать требования и условия, содержащиеся в настоящем Регламенте, а также обязуются не использовать полученную в рамках выполнения своей трудовой функции персональные данные других клиентов в целях, не предусмотренных настоящим Регламентом.
7.4. Изменения и дополнения к настоящему Регламенту, не противоречащие Регламенту и действующему законодательству, могут быть приняты по инициативе единоличного исполнительного органа Торговой марки Ledmonster. Содержание изменений и дополнений к настоящему Регламенту должны быть оформлены в письменном виде.