1. Общие положения
1.1. Согласно ст. 23 Конституции РФ каждый имеет право на неприкосновенность частной жизни, личную, семейную тайну, защиту своей чести и доброго имени, реализация которого обеспечивается положением ст. 24 Конституции РФ, устанавливающим, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается. Отношения, связанные с обработкой персональных данных, осуществляемой юридическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, регулируются Федеральным законом от 27 июля 2006 г. N 152-ФЗ “О персональных данных”.
1.2. Настоящее Положение разработано в целях выполнения указанных выше норм Конституции РФ, в соответствии с требованиями законодательства Российской Федерации и иных нормативных правовых актов в сфере обработки персональных данных.
Настоящее Положение определяет порядок работы (получения, обработки, использования, передачи, хранения и т.д.) сотрудников организации (далее -Оператор) с персональными данными клиентов (получателей услуг) (далее - Клиент) и гарантии конфиденциальности сведений о Клиенте, предоставленных Клиентом организации; права Клиента при обработке его персональных данных; ответственность лиц за невыполнение требований норм, регулирующих обработку персональных данных Клиента.
2. Понятие и состав персональных данных Клиента
2.1. Персональные данные Клиента - информация, необходимая Оператору в связи с оказанием Клиенту услуг и касающаяся конкретного Клиента.
2.2. К персональным данным Клиента относятся следующие сведения:
- фамилия, имя, отчество;
- пол;
- дата рождения;
- место рождения;
- гражданство (как при рождении, так и в настоящее время);
- образование, специальность;
- данные о работодателе и работе (наименование, адрес и телефон, должность в настоящее время, размер заработной платы);
- состояние в браке;
- состав семьи;
- место регистрации;
- адрес места жительства и телефон (домашний, мобильный);
- паспортные данные;
- данные водительского удостоверения;
- виды и объём оказанных Клиенту услуг;
- копии документов (в т.ч. паспорт, водительское удостоверение и т.п.);
- адрес электронной почты;
- иные сведения о Клиенте, необходимые для выполнения договора и позволяющие идентифицировать его личность.
3. Сбор, цели обработки и защита персональных данных Клиента
3.1. Обработка персональных данных Клиента осуществляется:
3.1.1. После заключения с Клиентом договора об оказании услуг, в котором определены доверие и обязанность по обработке персональных данных. В соответствии с п. 2 части 2 статьи 6 ФЗ «О персональных данных» в целях исполнения договора, одной из сторон которого является субъект персональных данных, т.е. Клиент, получения его согласия на обработку персональных данных не требуется;
3.1.2. После направления уведомления об обработке персональных данных в орган государственного надзора в сфере связи, информационных технологий и массовых коммуникаций территории, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона «О персональных данных»;
3.1.3. После принятия Оператором необходимых мер по защите персональных данных.
3.2. Все персональные данные Клиента Оператор получает лично у Клиента или у его законного представителя. Если персональные данные Клиента можно получить только у третьей стороны, то Клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
3.3. Оператор сообщает Клиенту или его законному представителю о целях обработки персональных данных, предполагаемых источниках и способах получения персональных данных.
3.4. При обращении за получением услуг Клиент (или его законный представитель) предоставляет Оператору персональные данные в документированной форме.
3.5. Оператор с согласия Клиента может запрашивать и получать персональные данные Клиента, используя информационные системы персональных данных с применением средств автоматизации.
3.6. Оператор вправе поручить обработку персональных данных третьему лицу с согласия Клиента, на основании заключенного с этим третьим лицом договора. В этом случае Оператор должен на договорной основе обязать третье лицо, осуществляющее обработку персональных данных по поручению Общества, соблюдать принципы и правила обработки персональных данных, предусмотренные Законом «О персональных данных».
3.6.1. В договоре Оператора с третьим лицом должны быть определены:
- перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных Клиента;
- цели обработки персональных данных Клиента;
- обязанность третьего лица соблюдать конфиденциальность персональных данных обеспечивать безопасность персональных данных при их обработке;
- требования к защите обрабатываемых персональных данных в соответствии с Законом «О персональных данных»
3.6.2. Если Оператор поручает обработку персональных данных Клиента третьему лицу, то ответственность перед Клиентом за действия указанного лица несет непосредственно Оператор.
3.7. Обработка Оператором персональных данных Клиента осуществляется исключительно в целях оказания Клиенту предусмотренных договором качественных услуг в необходимых объёмах, соблюдения требований действующего законодательства, иных нормативных правовых актов.
3.8. Перечень должностей, которые могут участвовать в обработке персональных данных с использованием средств автоматизации:
- главный бухгалтер;
- бухгалтер-кассир;
- руководитель отдела продаж;
- продавец-консультант;
- руководитель отдела запасных частей;
- продавец запасных частей;
- технический директор;
- ассистент отдела сервиса;
- инженер по гарантии;
- мастер-консультант;
- мастер МКЦ;
- специалист-оценщик;
- мастер-оценщик.
3.9. Перечень должностей, которые могут участвовать в обработке персональных данных без использования средств автоматизации:
- генеральный директор;
- главный бухгалтер;
- бухгалтер-кассир;
- руководитель отдела запасных частей;
- продавец запасных частей;
- администратор;
- ассистент отдела сервиса;
- инженер по гарантии;
- мастер-консультант;
- мастер МКЦ;
- специалист-оценщик;
- мастер-оценщик;
- руководитель отдела продаж;
- продавец-консультант;
- технический директор. 4. Порядок использования, хранения, передачи персональных данных Клиента
4.1. Персональные данные Клиентов содержатся в информационных системах, а также на материальных носителях, в том числе бумажных.
4.2. Доступ к обработке персональных данных Клиентов (как с использованием средств автоматизации, так и без использования средств автоматизации) обеспечивается в порядке ознакомления сотрудника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Клиента, с данными актами также производится ознакомление под роспись.
4.3. Сотрудник, имеющий доступ к персональным данным Клиентов в связи с исполнением трудовых обязанностей:
- обеспечивает хранение информации, содержащей персональные данные Клиента, исключающее доступ к ним третьих лиц;
- в отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Клиентов;
- в конце рабочего дня все документы, содержащие персональные данные Клиентов, помещаются в шкафы (сейфы), обеспечивающие защиту от несанкционированного доступа;
- при уходе в отпуск, во время служебной командировки и иных случаях длительного отсутствия сотрудника на своем рабочем месте, а также в случае его увольнения, он обязан передать документы и иные носители, содержащие персональные данные Клиентов лицу, на которое локальным актом (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей. В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные Клиентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов по указанию генерального директора.
4.4. Перечень лиц, имеющих право доступа к персональным данным Клиентов и обработке их персональных данных, определяется приказом генерального директора.
4.5. Лица, допущенные в установленном порядке к обработке персональных данных, имеют право обрабатывать только те персональные данные Клиентов, которые необходимы для выполнения конкретных функций.
4.6. Защита доступа к электронным базам данных (в т.ч. 1С), содержащим персональные данные Клиентов, обеспечивается, в том числе:
- использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный доступ к персональным данным;
- разграничением прав доступа с использованием учетной записи;
- наличием паролей для входа в операционную систему, в базу 1С и пр.
4.7. Оператор при осуществлении обработки персональных данных Клиентов без использования средств автоматизации выполняет следующие требования:
4.7.5. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, принимаются следующие меры по обеспечению раздельной обработки персональных данных:
а) при необходимости использования определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих использованию, и используется копия персональных данных;
б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
4.7.6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, информируются о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, об особенностях и правилах осуществления такой обработки посредством Положения об обработке и защите персональных данных, приказов генерального директора и/или иных локальных нормативных актов.
4.8. Оператор по достижении целей обработки персональных данных Клиента (а также в случае отзыва Клиентом согласия на обработку персональных данных) прекращает обработку этих персональных данных и обеспечивает их уничтожение.
Документы измельчаются механическим способом до степени, исключающей возможность прочтения текста, или сжигаются.
Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
Подлежащие уничтожению файлы с персональными данными, расположенные на жестком диске компьютера, удаляются средствами операционной системы компьютера с последующим «очищением корзины», либо применяется программное удаление («затирание») содержимого диска путем его форматирования с последующей записью новой информации на данный носитель.
4.9. Оператор уничтожает персональные данные Клиентов в течение тридцати дней со дня окончания срока их хранения, установленного нормами законодательства РФ.
5. Права Клиентов при обработке Оператором их персональных данных
5.1.**** В целях обеспечения защиты своих интересов, реализации прав и свобод в сфере персональных данных, регламентированных действующим законодательством, Клиенты имеют право на:
• предоставление Оператором полной информации об их персональных данных и обработке этих данных;
• свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные Клиента, за исключением случаев, предусмотренных федеральным законом;
• определение своих представителей для защиты своих персональных данных;
• требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением действующего законодательства;
• требование об извещении Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные Клиента, обо всех произведенных в них исключениях, исправлениях или дополнениях;
• обжалование в суд любых неправомерных действий или бездействия Оператора при обработке и защите его персональных данных.
6. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных Клиентов
6.1 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Клиентов, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.
6.2. Сотрудники Оператора, получившие в установленном порядке доступ к персональным данным Клиентов, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Клиентов, привлекаются Оператором к ответственности, предусмотренной действующим законодательством. 7. Заключительные положения
Настоящее Положение вступает в законную силу с момента утверждения его генеральным директором и действует до утверждения нового положения.