Индивидуального предпринимателя Чекрыгиной Елены Николаевны
Утверждено
Приказом ИП Чекрыгиной Елены Николаевны
от «09» января 2017 г. N 1
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящим Положением устанавливается порядок обработки персональных данных Клиентов индивидуального предпринимателя Чекрыгина Елена Николаевна.
1.2. Цель данного Положения – обеспечение требований защиты прав Клиентов при обработке их персональных данных индивидуальным предпринимателем Чекрыгина Елена Николаевна (далее по тексту – Организация) при заключении договоров найма жилого помещения.
1.3. Персональные данные не могут быть использованы Организацией или его сотрудниками в целях причинения имущественного и морального вреда Клиентам, затруднения реализации их прав и свобод.
1.4. Организация обязано осуществлять обработку персональных данных только на законной и справедливой основе.
1.5. Обработка персональных данных Клиентов должна ограничиваться достижением законных, конкретных и заранее определенных в договоре с Клиентами целей. Обработке подлежат только те персональные данные Клиентов, и только в том объеме, которые отвечают целям их обработки, определенным в договоре с Клиентами или законодательством Российской Федерации.
1.6. Обрабатываемые персональные данные Клиентов подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
1.7. Настоящее Положение и изменения к нему утверждаются руководителем Организации и вводятся приказом по основной деятельности индивидуального предпринимателя Чекрыгина Елена Николаевна. Все сотрудники Организации должны быть ознакомлены под подпись с данным Положением и изменениями к нему. Настоящее Положение является обязательным для исполнения всеми сотрудниками Организации, имеющими доступ к персональным данным Клиентов.
2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТА
2.1. Под Клиентами Общества в интересах настоящего Положения понимаются: физические лица (субъекты персональных данных), заключившие с Организацией договор на предоставление услуг по временному размещению и проживанию в жилых помещениях.
2.2. Под персональными данными Клиента понимается любая информация о субъекте персональных данных, необходимая Организации в связи с исполнением им договорных обязательств перед Клиентом.
2.3. Состав персональных данных Клиента, обработка которых осуществляется Организацией, включает в себя в основном следующие документы и сведения:
• Фамилия, имя, отчество Фамилия при рождении (либо другие фамилии, если были) Фамилия, имя в латинской транскрипции, как они указаны в заграничном паспорте;
• Год, месяц и число рождения Место рождения;
• Гражданство при рождении;
• Гражданство в настоящее время;
• Пол
• Семейное положение;
• Данные об общегражданском паспорте Российской Федерации: — Серия и номер общероссийского паспорта — дата его выдачи — наименование органа, выдавшего паспорт — срок действия общероссийского паспорта либо свидетельства о рождении;
• Копии общегражданских паспортов Клиентов;
• Данные о заграничном паспорте Российской Федерации: — Серия и номер заграничного паспорта — дата его выдачи — наименование органа, выдавшего паспорт — срок действия;
• Оригиналы и копии заграничных паспортов Клиентов;
• Копии свидетельств о рождении (для несовершеннолетних граждан);
• Адрес регистрации;
• Адрес электронной почты;
• Домашний и контактный (мобильный) телефоны;
• Данные о работодателе и работе: — наименование, адрес и телефон работодателя — должность в настоящее время — размер заработной платы;
• Данные об учебном заведении (для школьников и студентов): — наименование, адрес и телефон учебного заведения Сведения о получении пенсии и о том, кто оплачивает поездку пенсионеру (для пенсионеров);
2.4. Организация получает персональные данные Клиента на основании заключения с Клиентом письменного договора на предоставление услуг по временному размещению и проживанию в жилых помещениях.
3.КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Документы и сведения, перечисленные в статье 2. Положения, и содержащие информацию о персональных данных Клиентов, являются конфиденциальными. Организация обеспечивает конфиденциальность персональных данных, и обязано не допускать их распространения без согласия Клиентов, либо наличия иного законного основания.
3.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных Клиента распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
3.3. Если Организация с согласия Клиента поручает обработку персональных данных Клиента третьему лицу, то Организация обязана на договорной основе обременить это третье лицо обязанностью соблюдения конфиденциальности персональных данных Клиента.
4. ПРАВА И ОБЯЗАННОСТИ КЛИЕНТА
4.1. Клиент обязан передавать Организации достаточные, достоверные, документированные персональные данные, полный состав которых установлен в договорах на предоставление услуг по временному размещению и проживанию в жилых помещениях, заключенных между Клиентом и Организацией.
4.2. Клиент должен без неоправданной задержки сообщать Организации об изменении своих персональных данных.
4.3. Клиент имеет право на получение сведений об Организации, о месте его нахождения, о наличии в Организации персональных данных, относящихся к Клиенту, а также на ознакомление с такими персональными данными.
4.4. Клиент имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: подтверждение факта обработки персональных данных Организацией; правовые основания и цели обработки персональных данных; цели и применяемые оператором способы обработки персональных данных; сроки обработки персональных данных, в том числе сроки их хранения; информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование третьего лица или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по договору с Организацией; иные сведения, предусмотренные федеральными законами.
4.5. Клиент вправе требовать от Организации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4.6. Сведения о наличии персональных данных должны быть предоставлены Клиенту в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
4.7. Доступ к своим персональным данным предоставляется Клиенту или его законному представителю Организацией при обращении либо при получении запроса. Запрос должен содержать номер основного документа, удостоверяющего личность Клиента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Клиента или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
4.8. Согласие на обработку персональных данных может быть отозвано Клиентом.
4.9.Если Клиент считает, что Организация осуществляет обработку его персональных данных с нарушением требований Закона «О персональных данных» или иным образом нарушает его права и свободы, Клиент вправе обжаловать действия или бездействие Организации в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.
4.10. Клиент имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.
5. ОБЯЗАННОСТИ ОРГАНИЗАЦИИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Организация осуществляет обработку персональных данных Клиентов, указанных в п.1. статьи 2 настоящего Положения для заключения договора по инициативе Клиента или договора, по которому Клиент будет являться выгодоприобретателем или поручителем, обработка персональных данных Клиента необходима для осуществления прав и законных интересов Организации, или иных третьих лиц при соблюдении условия, что при этом не нарушаются права и свободы Клиента.
5.2. Организация вправе поручить обработку персональных данных третьему лицу с согласия Клиента, на основании заключенного с этим третьим лицом договора. В этом случае Организация должна на договорной основе обязать третье лицо, осуществляющее обработку персональных данных по поручению Организации, соблюдать принципы и правила обработки персональных данных, предусмотренные Законом «О персональных данных» и настоящим Положением (приложение № 1). 5.3. В договоре Организации с третьим лицом должны быть определены: — перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных Клиента; — цели обработки персональных данных Клиента; — обязанность третьего лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке; — требования к защите обрабатываемых персональных данных в соответствии с Законом «О персональных данных».
5.4. Если Организация поручает обработку персональных данных Клиента третьему лицу, то ответственность перед Клиентом за действия указанного лица несет непосредственно Организация.
5.5. При определении объема и содержания персональных данных Клиента, подлежащих обработке, Организация обязано руководствоваться Федеральным законом № 152-ФЗ от 27 июля 2006 года «О персональных данных», договорными обязательствами, взятыми на себя сторонами по договорам между Клиентом — Организацией.
5.6. Организация получает персональные данные Клиентов только в объеме, необходимом для достижения целей, указанных в договорах с Клиентом.
5.7. Организация не имеет права получать и обрабатывать персональные данные Клиента о его судимости, политических, религиозных и иных убеждениях и частной жизни, о его членстве в общественных объединениях или его профсоюзной деятельности. Организация не должна запрашивать информацию о состоянии здоровья Клиента.
5.8. Общество имеет права собирать и обрабатывать биометрические персональные данные Клиентов.
6.ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ
6.1. Защите подлежат следующие объекты персональные данные Клиентов, если только с них на законном основании не снят режим конфиденциальности: — документы, содержащие персональные данные Клиента; — бумажные носители, содержащие персональные данные Клиентов; — информация, содержащая персональные данные Клиентов, размещенная на электронных носителях.
6.2. Организация в интересах обеспечения выполнения обязанностей, возложенных на него Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и другими нормативными актами, регламентирующими деятельность юридических лиц по обработке персональных данных, принимает меры, предусмотренные настоящим Положением, Положение об обработке и защите персональных данных Работников и Положением о мерах по организации защиты информационных систем персональных данных Общества.
6.3. Общую организацию защиты персональных данных Клиентов осуществляет руководитель Организации.
6.4. Лицо, ответственное за организацию обработки персональных данных Организации обеспечивает:
— Ознакомление сотрудников под роспись с настоящим Положением.
— Истребование с сотрудников письменного обязательства о соблюдении конфиденциальности персональных данных Клиента и соблюдении правил их обработки.
— Ознакомление сотрудников под роспись с приказами и внутренними локальными нормативными актами, регламентирующими обработку и защиту персональных данных в Организации.
6.5. Руководители отделов, в которых осуществляется обработка персональных данных Клиентов, обеспечивают общий контроль соблюдения сотрудниками их отделов мер по защите персональных данных Клиента.
6.6. Защита информационных систем Организации, в которых обрабатываются персональные данные Клиентов, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке, осуществляется в соответствии с Положением о мерах по организации защиты информационных систем персональных данных Организации
6.7. Доступ к персональным данным Клиента имеют сотрудники Организации, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей согласно перечню должностей, утверждаемого приказом руководителя Организации.
6.8. Процедура оформления доступа к персональным данным Клиента включает в себя:
— Ознакомление сотрудника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Клиента, с данными актами также производится ознакомление под роспись.
— Истребование с сотрудника письменного обязательства о соблюдении конфиденциальности персональных данных Клиентов и соблюдении правил их обработки.
6.9. Сотрудник Организации, имеющий доступ к персональным данным Клиентов в связи с исполнением трудовых обязанностей:
— Обеспечивает хранение информации, содержащей персональные данные Клиента, исключающее доступ к ним третьих лиц.
— В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Клиентов.
— При уходе в отпуск, во время служебной командировке и иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные Клиентов лицу, на которое локальным актом Организации (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей. В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные Клиентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов по указанию руководителя отдела.
6.10. При увольнении сотрудника, имеющего доступ к персональным данным Клиентов, документы и иные носители, содержащие персональные данные Клиентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов по указанию руководителя отдела или Организации.
6.11. Допуск к персональным данным Клиента других сотрудников Организации, не имеющих надлежащим образом оформленного доступа, запрещается.
6.12. Документы, содержащие персональные данные Клиентов, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа. В конце рабочего дня все документы, содержащие персональные данные Клиентов, помещаются в шкафы (сейфы), обеспечивающие защиту от несанкционированного доступа.
6.13. Защита доступа к электронным носителям, содержащим персональные данные Клиентов, обеспечивается, в том числе:
— Организацией контроля доступа в помещения информационной системы посторонних лиц. — Использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный доступ к персональным данным.
— Разграничением прав доступа с использованием учетной записи.
— Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
— Учетом машинных носителей персональных данных.
— Обнаружением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.
— Контролем эффективности принимаемых мер по обеспечению защищенности персональных данных. 6.14. Копировать и делать выписки персональных данных Клиента разрешается исключительно в служебных целях с письменного разрешения руководителя отдела или Организации.
6.15. Ответы на письменные запросы других организаций и учреждений о персональных данных Клиентов даются только с письменного согласия самого Клиента, если иное не установлено законодательством. Ответы оформляются в письменном виде, и в том объеме, который позволяет не разглашать излишний объем персональных данных Клиента.
7. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ
7.1. Обработка персональных данных Клиента осуществляется Организацией исключительно для достижения целей, определенных письменными договорами между Клиентом и Организацией.
7.2. Обработка персональных данных Организацией в интересе Клиента заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа персональных данных Клиентов.
7.3. Обработка персональных данных Клиентов ведется методом смешанный (в том числе автоматизированной) обработки.
7.4. К обработке персональных данных Клиента могут иметь доступ только сотрудники Организации, допущенные к работе с персональными данными Клиента.
7.5. Согласие на обработку персональных данных может быть отозвано Клиентом. В случае отзыва Клиентом согласия на обработку персональных данных Организация вправе продолжить обработку персональных данных без согласия Клиента при наличии следующих оснований:
1) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Клиент, а также для заключения договора по инициативе Клиента или договора, по которому Клиент будет являться выгодоприобретателем или поручителем;
2) обработка персональных данных Клиента необходима для осуществления прав и законных интересов Организации или третьих лиц при условии, что при этом не нарушаются права и свободы Клиента.
В случае отзыва Клиентом согласия на обработку его персональных данных, и если сохранение персональных данных более не требуется для целей обработки персональных данных Организация обязана прекратить их обработку и обеспечить прекращение такой обработки другим лицом, действующим по поручению Организации, а также уничтожить персональные данные Клиента и обеспечить их уничтожение другим лицом, действующим по поручению Организации.
7.6. Организация уничтожает персональные данные Клиента, и обеспечивает их уничтожение другими лицами, действующими по поручению Организации, в следующие сроки:
— хранящиеся на электронных носителях в течение тридцати дней со дня окончания установленного законодательством претензионного срока обращения Клиента с жалобой на качество предоставленных ему услуг;
— хранящиеся на бумажных носителях и не отнесенные к разряду первичных бухгалтерских документов или иных документов, подлежащих хранению по законодательству РФ, в течение тридцати дней со дня окончания срока исковой давности по договору заключенному между Клиентом и Организацией
— хранящиеся на бумажных носителях и отнесенные к разряду первичных бухгалтерских документов либо документов, подлежащих хранению по законодательству РФ, в течение тридцати дней со дня окончания срока их хранения, установленного нормами законодательства РФ.
8.ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Передача персональных данных Клиента осуществляется Обществом исключительно для достижения целей, определенных письменными договорами между Клиентом и Организацией.
8.2. Передача персональных данных Клиента третьим лицам осуществляется Организацией только на основании соответствующего договора с третьим лицом, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных Клиента и безопасности персональных данных при их обработке.
8.3. Организация не осуществляет трансграничную передачу персональных данных Клиента
9.ХРАНЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ
9.1. Персональные данные Клиентов могут храниться, как на бумажных носителях, так и в электронном виде.
9.2. Персональные данные Клиентов хранятся: — в отделе Организации, который принимает и обрабатывает заявки Клиентов на бронирование жилых помещений;
— в отделе, который осуществляет работу непосредственно с Клиентами;
— в бухгалтерии Организации;
— в юридическом отделе.
9.3. Персональные данные Клиентов на бумажных носителях, если с них не снят на законном основании режим конфиденциальности, хранятся в специально отведенных железных шкафах.
9.4. Ключи от железных шкафов хранятся у руководителей отделов и руководителя Организации.
9.5. Персональные данные Клиентов также хранятся в электронном виде: в локальной компьютерной сети Организации, в электронных папках и файлах в ПК сотрудников отделов, перечисленных в п.2. настоящей статьи, и допущенных к работе с персональными данными Клиентов.
9.6. После достижения цели обработки персональных данных Организация обязан прекратить обработку персональных данных Клиентов и уничтожить их персональные данные.
9.7. Персональные данные Клиентов, содержащиеся на бумажных носителях, уничтожаются по акту в следующие сроки:
— хранящиеся на бумажных носителях и не отнесенные к разряду первичных бухгалтерских документов или иных документов, подлежащих хранению по законодательству РФ, в течение тридцати дней со дня окончания срока исковой давности по договору Клиент-Организация
— хранящиеся на бумажных носителях и отнесенные к разряду первичных бухгалтерских документов либо документов, подлежащих хранению по законодательству РФ, в течение тридцати дней со дня окончания срока их хранения, установленного нормами законодательства РФ.
9.8. Обработка персональных данных, содержащихся на электронных носителях информации, прекращается, а сами персональные данные уничтожаются в течение тридцати дней со дня окончания установленного законодательством претензионного срока обращения Клиента с жалобой на качество предоставленных ему услуг.
10.ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ КЛИЕНТА
10.1. Право доступа к персональным данным Клиента в Организации имеют:
— Руководитель Организации;
— Работники Организацииа, допущенные к обработке персональных данных Клиентов в соответствии с Перечнем сотрудников Организации, имеющих доступ к персональным данным Клиентов
— Другие сотрудники Организации при выполнении ими своих служебных обязанностей, при наличии соответствующего распоряжения Руководителя Организации;
— Клиент, как субъект персональных данных.
10.2. Перечень сотрудников Организации, имеющих доступ к персональным данным Клиентов, определяется приказом Руководителя Организации.
10.3. Доступ Клиента к своим персональным данным предоставляется при обращении либо при получении запроса Клиента. Организация обязана в течение тридцати дней с даты получения запроса сообщить Клиенту информацию о наличии персональных данных о нем, и при необходимости предоставить возможность ознакомления с ними, либо в течение этого же срока дать мотивированный отказ в предоставлении информации.
10.4. Организация обязана сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
10.5. При передаче персональных данных Клиента Организация должна соблюдать следующие требования:
— не сообщать персональные данные Клиента третьей стороне без письменного согласия Клиента, за исключением случаев, установленных федеральным законом;
— предупредить лиц, получающих персональные данные Клиента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
— разрешать доступ к персональным данным Клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Клиентов, которые необходимы для выполнения конкретных функций.
10.6. Согласия Клиента на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью Клиента, и когда третьи лица оказывают услуги Организации на основании заключенных договоров, а также в случаях, установленных федеральным законом и настоящим Положением.
11. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ КЛИЕНТА
11.1. Организация несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных Клиента. Организация закрепляет персональную ответственность сотрудников за соблюдением установленного в организации режима конфиденциальности.
11.2. Руководитель подразделения несет персональную ответственность за соблюдение сотрудниками его подразделения норм, регламентирующих получение, обработку и защиту персональных данных Клиента. Руководитель, разрешающий доступ сотрудника к документам, содержащим персональные данные Клиента, несет персональную ответственность за данное разрешение.
11.3. Каждый сотрудник Организацииа, получающий для работы документ, содержащий персональные данные Клиента, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
11.4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Клиента, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
11.5. За неисполнение или ненадлежащее исполнение сотрудником по его вине возложенных на него обязанностей по соблюдению установленного порядка обработки персональных данных Клиентов Организация вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания.
11.6. Неправомерный отказ в предоставлении собранных в установленном порядке документов, содержащих персональные данные Клиентов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации может повлечь наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.
12. ОБЕСПЕЧЕНИЕ НЕОГРАНИЧЕННОГО ДОСТУПА К НАСТОЯЩЕМУ ПОЛОЖЕНИЮ
12.1. Организация во исполнение требований п.2. ст.18.1. Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных» для обеспечения неограниченного доступа к сведениям о реализуемых Обществом мероприятиях по защите персональных данных, и к документам, определяющим политику Общества в отношении обработки персональных данных, размещает текст настоящего Положения на своем общедоступном сайте: http://artotel.loc