Пользовательское соглашение
ПОЛОЖЕНИЕ
О РАБОТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
КЛИЕНТОВ и ПОСЕТИТЕЛЕЙ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение является локальным нормативным актом Индивидуального предпринимателя Номеровской Наталии Юрьевны, для компьютерного клуба EGS арена далее “Компьютерный клуб EGS”
1.2. Настоящее Положение о работе с персональными данными, далее «Положение» определяет порядок использования, состава, получения (сбора), обработки, передачи, уточнения и изменения, хранения, уничтожения персональных данных, организацию работы с персональными данными и обеспечение защиты персональных данных, а также ответственность и гарантии конфиденциальности сведений, предоставленных ИП Номеровской Н.Ю, следующих лиц:
- Клиентов для которых Индивидуальный предприниматель осуществляет спектр услуг и посетителей.
1.3. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и другими нормативными правовыми актами Российской Федерации, далее «РФ».
1.4. Цель настоящего Положения – обеспечение законодательства о персональных данных, регулирование гражданских правоотношений с клиентами в том числе определение порядка обработки персональных данных клиентов ИП Номеровской Н.Ю, обеспечение защиты прав и свобод данных лиц при обработке их персональных данных, защита персональных данных от несанкционированного доступа и разглашения, а также установление ответственности за нарушение норм, регулирующих работу с персональными данными.
1.5. Работа с персональными данными является элементом системы безопасности ИП Номеровской Н.Ю, направленной на обеспечение контроля качества деятельности, в том числе соблюдения обеспечения конфиденциальности персональных данных клиентов. Используется лишь на законных основаниях.
1.6. Действие настоящего Положения распространяется на:
-Клиентов и посетителей
1.7. Настоящее Положение является обязательным для исполнения всем лицам, имеющим допуск к персональным данным клиентов Компьютерный клуб EGS и ответственному лицу за обработку персональных данных.
1.8. Понятия, используемые в настоящем Положении:
1.9. «ИП Номеровская Н.Ю» – деятельность, осуществляемая Индивидуальным предпринимателем Номеровской Н.Ю.по осуществлению услуг Компьютерного клуба EGS
1.10. «Сотрудники» – лица, состоящие в трудовых правоотношениях с Индивидуальным предпринимателем Номеровской Н.Ю, обрабатывающие персональные данные клиентов Компьютерного клуба EGS.
«Клиенты» – потребители услуг Компьютерного клуба EGS состоящие в гражданских правоотношениях.
«Посетители» - лица посещающие клуб но которым не предоставляются услуги
«Субъекты персональных данных» – клиенты – лица, к которым относятся соответствующие персональные данные.
«Персональные данные» – любая информация, относящаяся к прямо или косвенно определенному или определяемому субъекту персональных данных.
«Персональные данные, разрешенные субъектом персональных данных для распространения» – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
«Обработка персональных данных» – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных.
«Автоматизированная обработка персональных данных» – обработка персональных данных с помощью средств вычислительной техники.
«Неавтоматизированная обработка персональных данных» – обработка персональных данных на бумажных носителях.
«Информационная система персональных данных» – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
«Использование персональных данных» – действия (операции) с персональными данными, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
«Предоставление персональных данных» – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
«Передача персональных данных» – действия, направленные на передачу персональных данных определенному кругу лиц – третьему лицу.
«Распространение персональных данных» – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
«Уничтожение персональных данных» – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных.
«Блокирование персональных данных» – временное прекращение обработки персональных данных.
«Обезличивание персональных данных» – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
«Конфиденциальность персональных данных» – обязательное для соблюдения Индивидуальным предпринимателем или лицом, получившим доступ к персональным данным, требование не допускать их распространение без согласия субъекта персональных данных или иного законного основания.
«Общедоступные персональные данные» – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с законами не распространяется требование соблюдения конфиденциальности.
«Сведения» – информация независимо от формы её представления.
2. ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Персональные данные клиентов являются конфиденциальной, строго охраняемой информацией.
2.2. Под персональными данными клиентов понимается любая информация, прямо или косвенно относящаяся к ним как к субъектам персональных данных.
2.3. Персональные данные клиентов используются в целях, связанных заключением и исполнением договоров гражданских правоотношений, определенных гражданским законодательством РФ.
2.4. Персональные данные клиентов биометрической категории используются в целях ведения видеонаблюдения на территории Компьютерного клуба EGS арена, в том числе защиты жизни, здоровья или иных жизненно важных интересов клиентов и обеспечения личной безопасности, обеспечения конфиденциальности и безопасности персональных данных, обеспечения системы безопасности, противоправных проявлений, предупреждения возникновения чрезвычайных ситуаций и объективности расследования в случаях их возникновения в соответствии с Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 28.12.2010 N 390-ФЗ «О безопасности», Федеральным законом от 29.07.2004 N 98-ФЗ «О коммерческой тайне» .
2.5. Материалы видеосъемки на территории Компьютерного клуба EGS арена до передачи их для установления личности снятого физического лица, не являются биометрическим персональными данными, обработка которых регулируется общими положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», так как не используются Компьютерным клубом для установления личности.
2.6. В случае использования указанных материалов государственными органами, осуществляющими оперативно-розыскную деятельность, дознание и следствие в рамках проводимых мероприятий правонарушений, материалы являются биометрическими персональными данными, целью их обработки является установление личности конкретного физического лица.
2.7. Персональные данные клиентов могут использоваться также в иных сопутствующих целях с их согласия на обработку их персональных данных.
2.8. Компьютерный клуб EGS собирает данные только в объеме, необходимом для достижения определенных целей.
2.9. Персональные данные клиентов не могут быть использованы в целях причинения имущественного и морального вреда, затруднения реализации их прав и свобод как граждан Российской Федерации.
3. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Сведения о персональных данных клиентов являются конфиденциальными.
3.2. К персональным данным клиентов относятся следующие сведения:
- имя,
- отчество;
- фамилия
- дата рождения; пол;
- адрес электронной почты;
- номер телефона.
При ведении видеонаблюдения - Биометрические персональные данные: данные изображения лица, полученные с помощью фото- видео устройств, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
4. ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Компьютерный клуб EGS осуществляет получение (сбор) персональных данных клиентов.
4.2. Все персональные данные клиентов Компьютерный клуб EGS получает непосредственно у них самих.
4.3. Клиенты представляют Компьютерному клубу EGS достоверные сведения о себе. Индивидуальный предприниматель проверяет достоверность сведений, сверяя данные, представленные клиентами с имеющимися у них документами.
4.4. Компьютерный клуб EGS должен сообщить клиентам о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать согласие на их получение.
4.5. Если персональные данные клиентов возможно получить только у третьей стороны, то клиент должен быть уведомлён об этом заранее и от него должно быть получено согласие.
4.6. Компьютерный клуб EGS вправе получать персональные данные клиентов от третьих лиц только при наличии согласия от данных лиц или в иных случаях, прямо предусмотренных в законодательстве о персональных данных. Лицо, осуществляющее передачу персональных данных по поручению Индивидуального предпринимателя, обязано соблюдать принципы и правила обработки и передачи персональных данных, предусмотренные законодательством, соблюдать конфиденциальность персональных данных.
4.7. При получении персональных данных не от клиентов, за исключением случаев, если персональные данные были предоставлены Компьютерному клубу EGS на основании федерального закона РФ или если персональные данные являются общедоступными, Индивидуальный предприниматель до начала обработки таких персональных данных, обязан предоставить клиенту следующую информацию:
– наименование либо фамилию, имя, отчество и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- перечень персональных данных;
- предполагаемые пользователи персональных данных;
- права субъекта персональных данных;
- источник получения персональных данных.
4.8. Компьютерный клуб EGS освобождается от обязанности предоставить клиентам сведения в случаях, указанных в главе 4, пункта 4, статьи 18 закона 152-ФЗ «О персональных данных».
4.9. Компьютерный клуб EGS не вправе требовать от клиентов представления персональных данных, которые не характеризуют их как сторону гражданских правоотношений.
4.10. Компьютерный клуб EGS не имеет права получать сведения о клиентах, относящиеся в соответствии с законодательством о персональных данных к специальным категориям персональных данных, статьи 10 закона 152-ФЗ «О персональных данных», за исключением случаев, предусмотренных другими федеральными законами.
4.11. Компьютерный клуб EGS не имеет права получать и обрабатывать персональные данные о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни , за исключением случаев, предусмотренных частями 2, 2.1 статьи 10 закона 152-ФЗ «О персональных данных».
4.12. Компьютерный клуб EGS не имеет права получать персональные данные клиентов о их членстве в общественных объединениях или их профсоюзной деятельности, за исключением случаев, предусмотренных иными федеральными законами.
4.13. В соответствии с главой 2 статьи 18 закона 152-ФЗ «О персональных данных» в случае, если предоставление персональных данных и/или получение Компьютерный клуб EGS согласия на обработку персональных данных являются обязательными, Компьютерный клуб EGS обязан разъяснить клиентам юридические последствия отказа от предоставления их персональных данных и/или дачи согласия на их обработку.
5. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Принципы обработки персональных данных:
5.1.1. Обработка персональных данных клиентов Компьютерного клуба EGS осуществляется на законной и справедливой основе с соблюдением принципов и правил, предусмотренных законом о персональных данных.
5.1.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
5.2. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
5.3. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5.4. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
5.5. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
5.6. Обработка персональных данных Компьютерного клуба EGS в интересах клиентов заключается в сборе, записи, систематизации, накоплении, хранении, уточнении (обновлении, изменении), извлечении, использовании, передачи, блокировании, удалении, уничтожении и в защите от несанкционированного доступа персональных данных.
5.7. При обработке персональных данных должны быть обеспечены точность и достаточность персональных данных, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Компьютерный клуб EGS должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных. В случае если на основании персональных данных клиентов невозможно достоверно установить какой-либо факт, Индивидуальный предприниматель предлагает представить письменные разъяснения.
5.8. Персональные данные клиентов обрабатываются в целях, связанных заключением и исполнением договоров гражданских правоотношений, выполнением услуг, определенных гражданским законодательством РФ.
5.9. Персональные данные клиентов с их согласия могут используются также в иных сопутствующих целях.
5.10. Обработка персональных данных клиентов ведется методом смешанной обработки. Представленные персональные данные обрабатываются автоматизированным и неавтоматизированным способами. Персональные данные могут быть обработаны как на бумажных носителях, так и в электронном виде в автоматизированных учетных информационных системах.
5.11. Для получения и обработки персональных данных, Компьютерный клуб EGS использует следующее оборудование и технику: программные компьютеры,
5.12. Для обработки персональных данных, Компьютерный клуб EGS использует учетные автоматизированные информационные системы: ГИЗМО (GIZMO).
5.13. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. При определении объема и содержания обрабатываемых персональных данных клиентов, Компьютерный клуб EGS должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и законом «О персональный данных».
5.15. Обработка персональных данных клиентов Компьютерного клуба EGS осуществляется для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Индивидуального предпринимателя функций, полномочий и обязанностей и/или обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Достижение данных целей достигается без согласия на обработку персональных данных.
5.16. В рамках иных целей или избыточности персональных данных, обработка персональных данных клиентов осуществляется с их согласия как субъектов персональных данных на обработку их персональных данных:
5.16.1. Чтобы обрабатывать персональные данные клиентов, Компьютерный клуб EGS получает от данных лиц «Согласие на обработку персональных данных» клиентов, приложение № 1 к Положению.
5.17. Согласие на обработку персональных данных должно соответствовать требованиям законодательства о персональных данных.
5.18. Согласие на обработку персональных данных может быть отозвано клиентами. В случае отзыва согласия на обработку персональных данных, Компьютерный клуб EGS вправе продолжить обработку персональных данных без их согласия только при наличии оснований, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
5.19. Компьютерный клуб EGS не принимает, не снимает и не хранит копии личных документов клиентов либо их представителей.
5.20. Доступ к персональным данным клиентов могут иметь только лица, допущенные к работе с персональными данными, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных целей и функций.
5.21. Перечень лиц, имеющих право допуска к персональным данным клиентов, определяется Регламентом допуска лиц к обработке персональных данных и приказом Индивидуального предпринимателя.
5.22. Компьютерный клуб EGS не имеет права обрабатывать сведения о клиентах, относящиеся в соответствии с законодательством в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных законодательством.
5.23. При принятии решений, затрагивающих интересы клиентов, Компьютерный клуб EGS не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения. Индивидуальный предприниматель также не вправе принимать решения, затрагивающие их интересы, основываясь на данных, допускающих двоякое толкование.
5.24. Защита персональных данных клиентов от неправомерного использования или утраты должна быть обеспечена Компьютерным клубом EGS в порядке, установленном законом «О персональных данных» и иными правовыми актами РФ.
6. УТОЧНЕНИЕ, ИЗМЕНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Компьютерный клуб EGS должен принимать необходимые меры либо обеспечивать их принятие по уточнению и изменению персональных данных клиентов, в том числе неполных или неточных данных согласно законодательству о персональных данных.
6.2. Клиент имеет право требовать уточнения и изменения, своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
6.3. При изменении своих персональных данных, клиент соглашается, что такое изменение происходит на тех же условиях, что и первоначальное предоставление им своих персональных данных, не требует оформления дополнительного согласия, и измененные персональные данные обрабатываются в том же порядке, что и первоначально предоставленные персональные данные.
6.4. В случае подтверждения факта неточности персональных данных при обращении либо запросу клиента или по запросу уполномоченного органа по защите прав субъектов персональных данных, Компьютерный клуб EGS обязан уточнить персональные данные в течение 7 рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
7. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
При передаче персональных данных клиентов третьим лицам, Компьютерный клуб EGS должен соблюдать следующие требования:
7.1. Осуществлять передачу персональных данных клиентов в соответствии с законом «О персональных данных» и настоящим Положением.
7.2. Компьютерный клуб EGS обязан обеспечить клиентам возможность определить перечень персональных данных, разрешенных для передачи.
7.3. Передача персональных данных клиентов осуществляется с согласия этих лиц как субъектов персональных данных на передачу персональных данных.
7.3.1. Чтобы передавать персональные данные клиентов, Компьютерный клуб EGS получает от данных лиц «Согласие на передачу персональных данных» клиентов, приложение № 2 к Положению.
7.4. Передача персональных данных, разрешенных клиентами для передачи, должна быть прекращена в любое время по их требованию.
7.5. С согласия клиентов, Компьютерный клуб EGS вправе передавать полученные их данные контрагентам или партнерам для оказания услуг клиентам. Передача персональных данных клиентов осуществляется с их согласия.
7.6. Разрешать доступ к персональным данным клиентов только уполномоченным допущенным лицам, при этом указанные лица должны иметь право получать только те персональные данные клиентов, которые необходимы для выполнения конкретной цели.
7.7. Лица, в установленном порядке получившие доступ к персональным данным и другой конфиденциальной информации клиентов, обязаны не предоставлять и не разглашать такую информацию в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) без согласия обладателя такой информации. Предупреждать лиц, получивших персональные данные клиентов, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Лица, получившие персональные данные, обязаны соблюдать режим конфиденциальности.
7.8. В случае если лицо, обратившееся с запросом, не уполномочено законом на получение информации, относящейся к персональным данным клиентов, Компьютерный клуб EGS обязан отказать лицу в выдаче информации.
7.9. Копировать и делать выписки из персональных данных клиентов разрешается исключительно в служебных целях с разрешения ответственного за обработку персональных данных.
7.10. Компьютерный клуб EGS обязан передавать персональные данные клиентов, в порядке, установленном законом «О персональных данных», ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их целей и функции.
7.11. Клиенты вправе обратиться с требованием прекратить передачу своих персональных данных к лицу, обрабатывающему его персональные данные, в случае несоблюдения положений закона о персональных данных или в судебном порядке.
7.12. Компьютерный клуб EGS или третье лицо обязаны прекратить передачу персональных данных в течение 3 рабочих дней с момента получения требования клиента или в срок, указанный во вступившем в законную силу решении суда. Если такой срок в решении суда не указан, то Индивидуальный предприниматель или третье лицо обязаны прекратить передачу персональных данных клиентов в течение трех рабочих дней с момента вступления решения суда в законную силу.
7.13. В случае если из предоставленного клиентами согласия на передачу персональных данных, не следует, что клиент согласился с передачей персональных данных, такие данные обрабатываются Компьютерный клуб EGS без права передачи.
7.14. Компьютерный клуб EGS не вправе предоставлять персональные данные клиентов третьей стороне без их письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью этих лиц, а также в случаях, установленных законодательством.
7.15. Компьютерный клуб EGS не вправе сообщать персональные данные клиентов в коммерческих целях без их письменного согласия.
7.16. Компьютерный клуб EGS вправе передать информацию, которая относится к персональным данным клиентов, без их согласия, если такие сведения нужно передать по запросу государственных органов, в порядке, установленном законом «О персональных данных».
7.17. Трансграничная передача персональных данных Компьютерным клубом EGS не производится.
8. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Обеспечение сохранности персональных данных является обязанностью Компьютерного клуба EGS в соответствии с законом «О персональных данных».
8.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иное не установлено законом «О персональных данных».
8.3. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
8.4. Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен законом «О персональных данных».
8.5. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законом «О персональных данных».
8.6. Компьютерный клуб EGS осуществляет хранение следующих групп документов в единичном или сводном виде: документы, содержащие персональные данные Клиентов, в том числе документы, подтверждающие гражданские правоотношения, оказание услуг и другие документы, нахождение которых будет признано целесообразным.
8.7. Документы, содержащие персональные данные клиентов хранятся в помещении Индивидуального предпринимателя.
8.8. Персональные данные клиентов могут передаваться на хранение как на бумажных носителях, так и в электронном виде в электронных автоматизированных учетных, информационных системах.
8.9. Для хранения персональных данных, Компьютерный клуб EGS использует следующую технику и оборудование: программные компьютеры.
8.10. Для хранения персональных данных, Компьютерный клуб EGS использует следующие электронные учетные автоматизированные информационные системы: ГИЗМО (GIZMO).
8.11. Персональные данные в бумажном виде хранятся в папках, в закрытом шкафу.
8.12. Электронные документы хранят на физических носителях и в информационных системах.
8.13. Хранение документов осуществляется в порядке, согласно Правилам организации хранения документов, утвержденным приказом Росархива от 31.07.2023 № 77.
8.14. Хранение бухгалтерских документов, в которых имеются персональные данные клиентов, осуществляется в сроки, согласно Федеральному закону от 06.12.2011 № 402-ФЗ «О бухгалтерском учете».
8.15. Хранение договоров гражданских правоотношений, в том числе возмездного оказания услуг, осуществляется в сроки, согласно Перечню, утвержденному Приказом Росархива от 20.12.2019 № 236.
8.16. Хранение документов по организации деятельности Индивидуального предпринимателя, в которых имеются персональные данные клиентов, осуществляется в сроки, согласно Перечню, утверждённому приказом Росархива от 20.12.2019 № 236.
8.17. Доступ к электронным информационным системам, содержащим персональные данные клиентов, обеспечивается системой паролей: на уровне локальной компьютерной сети и на уровне учетных информационных систем и баз данных.
8.18. Допуск к персональным данным клиентов, имеют должностные лица, назначенные приказом Индивидуального предпринимателя, должности которых описаны в Регламенте допуска лиц к обработке персональных данных клиентов, к тем данным, которые необходимы для выполнения конкретных функций. Доступ иных должностных лиц к персональным данным клиентов, осуществляется на основании приказа Индивидуального предпринимателя.
8.19. В архив поступают электронные и бумажные документы с постоянным и временным сроком хранения.
8.20. Архив документов по клиентам хранится в специально отведенном месте, обеспечивающем защиту от несанкционированного доступа, в отдельных папках, прошитых и пронумерованных по страницам.
8.21. Компьютерный клуб EGS обязан обеспечивать сохранность архивных документов, в том числе документов по личному составу, в течение сроков их хранения, установленных федеральными законами и иными нормативными правовыми актами РФ.
8.22. После истечения срока нормативного хранения документов, которые содержат персональные данные клиентов, документы подлежат уничтожению.
8.23. Компьютерный клуб EGS обеспечивает защиту персональных данных клиентов от неправомерного использования или утраты.
9. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Компьютерный клуб EGS должен принимать необходимые меры либо обеспечивать их принятие по удалению, уничтожению персональных данных клиентов, в том числе неполных или неточных данных согласно законодательству о персональных данных.
9.2. Компьютерный клуб EGS обязан обеспечить уничтожение персональных данных клиентов в сроки, предусмотренные статьей 21 закона «О персональных данных»:
9.2.1. В случае достижения цели обработки персональных данных, Компьютерный клуб EGS обязан прекратить обработку персональных данных или обеспечить ее прекращение и уничтожить персональные данные в течение 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено законом «О персональных данных».
9.2.2. В случае отзыва клиентов согласия на обработку персональных данных, Компьютерный клуб EGS обязан прекратить обработку данных, если их сохранение более не требуется для целей обработки персональных данных и уничтожить персональные данные – в течение 30 дней с даты поступления указанного отзыва, если иное не предусмотрено законом «О персональных данных» или другими федеральными законами РФ.
9.2.3. В случае обращения клиента с требованием о прекращении обработки персональных данных, Компьютерный клуб EGS обязан в срок, не превышающий 10 рабочих дней с даты получения соответствующего требования, прекратить их обработку, за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 закона 152-ФЗ «О персональных данных». Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Индивидуальным предпринимателем в адрес субъекта мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
9.2.4. В случае выявления неправомерной обработки персональных данных при обращении клиента либо по его запросу или уполномоченного органа, Компьютерный клуб EGS обязан осуществить блокирование неправомерно обрабатываемых персональных данных с момента такого обращения или получения указанного запроса на период проверки.
9.2.5. В случае выявления неточных персональных данных при обращении клиента либо по его запросу или по запросу уполномоченного органа, Компьютерный клуб EGS обязан осуществить блокирование персональных данных с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
9.2.6. В случае выявления неправомерной обработки персональных данных, осуществляемой Компьютерный клуб EGS или лицом, действующим по ее поручению, Индивидуальный предприниматель в срок, не превышающий 3 рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку. В случае, если обеспечить правомерность обработки персональных данных невозможно, Индивидуальный предприниматель в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки, обязан уничтожить такие данные. Об устранении допущенных нарушений или об уничтожении персональных данных Индивидуальный предприниматель обязан уведомить субъекта персональных данных, а в случае, если обращение либо запрос были направлены уполномоченным органом, также указанный орган.
9.2.7. В случае установления факта неправомерной или случайной передачи персональных данных, повлекшей нарушение прав клиента, Компьютерный клуб EGS обязан с момента выявления такого инцидента, уведомить уполномоченный орган:
- в течение 24 часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъекта, и предполагаемом вреде, нанесенном правам субъекта, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения по вопросам, связанным с выявленным инцидентом;
- в течение 72 часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента, при наличии.
9.2.8. В случае отсутствия возможности уничтожения персональных данных в течение установленного срока, Компьютерный клуб EGS осуществляет блокирование таких персональных данных или обеспечивает их блокирование и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен законодательством.
9.3. Компьютерный клуб EGS обязан обеспечить уничтожение персональных данных по истечению срока хранения документов, содержащих персональные данные.
9.4. Клиент имеет право требовать блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
9.6. В случае отсутствия возможности уничтожения персональных данных в течение установленного срока, Компьютерный клуб EGS осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Индивидуального предпринимателя) и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен законодательством. Статья 21, часть 6 закона 152-ФЗ.
9.7. В случае отзыва клиентами согласий на обработку персональных данных, Компьютерный клуб EGS обязан прекратить их обработку.
9.8. Подтверждение уничтожения персональных данных осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, согласно законодательству о персональных данных.
10. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Защита персональных данных представляет собой регламентированный технологический процесс, предупреждающий нарушение установленного порядка доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивающий безопасность информации в процессе управленческой деятельности Компьютерный клуб EGS.
10.2. Защита персональных данных клиентов от неправомерного их использования или утраты должна быть обеспечена в порядке, установленном законодательством о персональных данных.
10.3. Компьютерный клуб EGS в лице ответственного за обработку персональных данных и лица, имеющие допуск к персональным данным клиентов, должны совместно вырабатывать меры защиты персональных данных.
10.4. Компьютерный клуб EGS обязан при обработке персональных данных клиентов, принимать необходимые организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
10.5. Обеспечение безопасности персональных данных достигается, в частности:
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- применением оценки соответствия средств защиты информации;
- учетом машинных носителей персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
10.6. Для обеспечения внешней защиты персональных данных, Компьютерный клуб EGS должен предпринимать следующие меры:
- использование технических средств охраны помещения Индивидуального предпринимателя;
- использование программно-технического комплекса защиты информации на электронных носителях и автоматизированных программах;
- защита программного обеспечения, применение антивирусного программного обеспечения;
- защита доступа в информационные системы базы данных, содержащие персональные данные клиентов, обеспечение использования лицензионных программных продуктов, предотвращающих несанкционированный доступ третьих лиц к персональным данным. Установление индивидуальных паролей доступа лицам в информационные системы, базы данных, в соответствии с их функциональными обязанностями. Пароли сообщаются индивидуально лицам, имеющим доступ к персональным данным;
- определение типа угроз безопасности и уровней защищенности персональных данных, которые хранятся в информационных системах;
- требования к защите информации в ходе ведения деловых переговоров, обсуждения соглашений. Использование информации, полученной в результате переговоров и обсуждений лишь в целях данных переговоров, обсуждений;
- применение иных правовых, организационных и технических мер по обеспечению безопасности персональных данных.
10.7. Для обеспечения внутренней защиты персональных данных, Компьютерный клуб EGS должен предпринимать следующие меры:
- назначение ответственного лица за обработку персональных данных;
- ограничение и регламентирование состава лиц, функциональные обязанности которых требуют доступа к персональным данным клиентов;
- подписание обязательств о неразглашении персональных данных клиентов с лицами, связанными с получением, обработкой и защитой таких персональных данных;
- издание локальных актов по вопросам работы с персональными данными и защиты персональных данных;
- установление правил доступа к персональным данным;
- обеспечение регистрации и учета действий, совершаемых с персональными данными;
- ознакомление лиц, непосредственно осуществляющих обработку персональных данных клиентов с положениями закона «О персональных данных», в том числе требованиями к защите персональных данных, документами, определяющими политику Индивидуального предпринимателя в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
- порядок и контроль деятельности Индивидуального предпринимателя в области обработки персональных данных клиентов;
- создание необходимых условий для работы с документами и информационными системами, содержащими персональные данные клиентов;
- регулирование и соблюдение допуска к персональным данным клиентов. Допуск лиц, не имеющих надлежащего доступа, запрещается;
- избирательное и обоснованное распределение документов и информации, содержащей персональные данные, между лицами, уполномоченными работать с такими данными;
- соблюдение порядка получения, обработки персональных данных клиентов;
- организация и соблюдение хранения документов, содержащих персональные данные клиентов;
- организация и соблюдение порядка уничтожения персональных данных клиентов;
- своевременное выявление и устранение нарушений по защите персональных данных;
- проведение профилактической работы с лицами, имеющими доступ к персональным данным клиентов по предупреждению разглашения таких сведений;
- запрет выноса информации за пределы территории Индивидуального предпринимателя на бумажных, машиночитаемых, электронных носителях за исключением случаев, когда это необходимо в силу производственной необходимости для исполнения гражданских правоотношений;
- осуществление внутреннего контроля, аудита соответствия обработки персональных данных законодательству в области персональных данных требованиям к защите персональных данных, политики Индивидуального предпринимателя в отношении обработки персональных данных, локальным актам Индивидуального предпринимателя в отношении работы с персональными данными;
- оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных в случае нарушения закона «О персональных данных»;
10.8. При работе с персональными данными клиентов, допущенным лицам следует соблюдать меры, предупреждающие и ограничивающие доступ к указанной информации не уполномоченных на ее получение лиц, в том числе:
- не передавать свои пароли от входа в информационные системы, где обрабатываются, хранятся персональные данные, третьим лицам;
- по окончании работы в информационной системе – завершить сеанс пользователя;
- не допускать хранения в открытом доступе документов, содержащих конфиденциальную информацию клиентов;
- соблюдение порядка защиты персональных данных.
10.9. Нарушение данных обязанностей считается совершенным, когда сведения, содержащие персональные данные и другую конфиденциальную информацию, стали известны лицам, которые не должны располагать такой информацией.
10.10. Кроме мер защиты персональных данных, установленных законодательством о персональных данных, Компьютерный клуб EGS может вырабатывать индивидуальные меры защиты персональных данных.
11. РЕЖИМ КОНФИДЕНЦИАЛЬНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Персональные данные относятся к категории конфиденциальной информации.
11.2. Информация, относящаяся к персональным данным клиентов, является служебной, конфиденциальной тайной и охраняется законом.
11.3. Все меры конфиденциальности при получении, обработке и хранении персональных данных клиентов, распространяются как на бумажные, так и на электронные носители информации.
11.4. Компьютерный клуб EGS в лице ответственного за обработку персональных данных, а также же лица, получившие допуск к персональным данным клиентов, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия клиентов, если иное не предусмотрено законом.
11.5. Клиенты вправе требовать полную информацию о своих персональных данных, об их использовании, обработке, передачи и хранении.
11.6. В случае необходимости применения режима конфиденциальности к каким-либо категориям информации, Компьютерный клуб EGS в лице ответственного за обработку персональных данных вправе издать приказ о придании информации статуса конфиденциальной, с обязательным ознакомлением с приказом лиц, имеющих допуск к указанной информации, и последующим внесением указанной информации в установленный перечень сведений.
12. ОТВЕТСТВЕННОЕ ЛИЦО
12.1. Компьютерный клуб EGS назначает лицо, ответственное за организацию обработки персональных данных.
12.2. Лицо, ответственное за обработку персональных данных утверждается приказом Индивидуального предпринимателя Номеровской Н.Ю.
12.3. Лицо, ответственное за обработку персональных данных, обязано:
12.3.1. доводить до сведения лиц, допущенных и осуществляющих работу с персональными данными клиентов, положения закона «О персональных данных», в том числе локальные акты по вопросам обработки персональных данных, требования к защите персональных данных;
12.3.2. доводить до сведения клиентов, положения законодательства о персональных данных, политику работы с персональными данными у Индивидуального предпринимателя, требования к защите персональных данных;
12.3.3. осуществлять внутренний контроль за соблюдением Индивидуального предпринимателя и лицами, допущенными и осуществляющими работу с персональными данными клиентов, закона «О персональных данных», в том числе требований к защите персональных данных;
12.3.4. организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, осуществлять контроль за приемом и обработкой обращений и запросов.
13. ПРАВА КЛИЕНТОВ
В целях обеспечения защиты персональных данных, клиенты имеют право на:
13.1. Защиту своих прав и законных интересов.
13.2. Полную информацию об их персональных данных и обработке этих данных.
13.3. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные, а также способы и цели обработки персональных данных, применяемые Компьютерным клубом EGS
13.4. Получать от Компьютерного клуба EGS сведения о лицах, которые имеют допуск к персональным данным или которым может быть предоставлен такой допуск.
13.5. Получать от Компьютерного клуба EGS перечень обрабатываемых персональных данных и источник их получения, сроки обработки персональных данных, в том числе сроки их хранения.
13.6. Разъяснение сведений о том, какие юридические последствия для них как субъектов персональных данных может повлечь за собой обработка их персональных данных.
13.7. Требовать от Компьютерного клуба EGS уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для Индивидуального предпринимателя персональных данных. Клиенты вправе требовать уточнения их персональных данных, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
13.8. Требование об извещении Компьютерного клуба EGS о лицах, которым ранее были сообщены неверные или неполные персональные данные клиентов, обо всех произведенных в них исключениях, исправлениях или дополнениях.
13.9. Персональные данные оценочного характера клиенты, имеют право дополнить заявлением, выражающим его собственную точку зрения.
13.10. Право на обжалование действий или бездействий. Если клиенты считают, что Индивидуальный предприниматель осуществляет обработку их персональных данных с нарушением требований закона «О персональных данных» или иным образом нарушает его права и свободы, они вправе обжаловать действия или бездействие в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
14. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ,
РЕГУЛИРУЮЩИХ РАБОТУ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
14.1. Ответственность – обязательное условие обеспечения эффективности системы работы с персональными данными и их защиты.
14.2. Компьютерный клуб EGS несет ответственность за персональную информацию, которая находится в ее распоряжении и закрепляет персональную ответственность за соблюдение установленного режима конфиденциальности.
14.3. Компьютерный клуб EGS в лице ответственного за обработку персональных данных, а также лица, имеющие допуск к персональным данным, несут ответственность за нарушение норм, регулирующих получение, обработку, распространение, хранение, уничтожение, а также защиту персональных данных клиентов.
14.4. Ответственное лицо должно обеспечивать хранение и защиту персональных данных клиентов от неправомерного их использования или утраты.
14.5. Ответственное лицо обязано на должном уровне обеспечивать рассмотрение запросов, заявлений и жалоб клиентов, а также содействовать исполнению требований компетентных органов.
14.7. В случае, если Компьютерный клуб EGS поручает обработку персональных данных другому лицу, ответственность перед клиентами, как субъектами персональных данных за действия указанного лица несет Индивидуальный предприниматель. Лицо, осуществляющее обработку персональных данных по поручению Индивидуального предпринимателя, несет ответственность перед Индивидуальным предпринимателем .
14.8. Лица, виновные в нарушении норм, регулирующих получение, обработку, передачу, хранение и защиту, уничтожение персональных данных клиентов, несут дисциплинарную, административную, гражданско-правовую, уголовную ответственность в соответствии с действующим законодательством РФ.
14.9. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о клиентах, получающие и использующие ее, несут ответственность в соответствии с законодательством РФ за нарушение режима защиты, обработки и порядка использования этой информации.
14.10. В соответствии с Гражданским Кодексом лица, незаконными методами получившие персональные данные клиентов, составляющую коммерческую и конфиденциальную тайну, обязаны возместить причиненные убытки.
14.11. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в законодательном порядке.
15. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
15.1. Настоящее Положение утверждается Индивидуальным предпринимателем Номеровской Н.Ю. и вступает в силу с момента утверждения приказом.
15.2. Настоящее Положение принимается на неопределенный срок. Изменения и дополнения в настоящее Положение вносятся приказом Индивидуального предпринимателя Номеровской Н.Ю.
15.4. Цели и задачи настоящего Положения обязательны для разъяснения всем лицам, получающим доступ к персональным данным клиентов Компьютерного клуба EGS, в том числе лицу ответственному за обработку персональных данных.
15.5. Ответственное лицо за обработку персональных данных и лица, получившие допуск к персональным данным клиентов Компьютерного клуба EGS, должны быть ознакомлены с настоящим Положением под роспись.
15.6. Приложения к настоящему Положению:
¾ Приложение № 1: Форма «Согласие на обработку персональных данных» клиента.