Положение об обработке данных

Общие положения

1.1. Общие положения согласно Конституции РФ

Согласно ст. 23 Конституции РФ каждый имеет право на неприкосновенность частной жизни, личную, семейную тайну, защиту своей чести и доброго имени, реализация которого обеспечивается положением ст. 24 Конституции РФ, устанавливающим, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается. Отношения, связанные с обработкой персональных данных, осуществляемой юридическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, регулируются Федеральным законом от 27 июля 2006 г. N 152-ФЗ О персональных данных.

1.2. Определение порядка работы

Настоящее Положение определяет порядок работы (получения, обработки, использования, передачи, хранения и т.д.) сотрудников компании ООО «Цитадель Трейд» (далее Оператор) с персональными данными пользователей интернет ресурса https://citadeltrade.ru (далее Клиентов) и гарантии конфиденциальности сведений о Клиенте, предоставленных Клиентом организации; права Клиента при обработке его персональных данных; ответственность лиц за невыполнение требований норм, регулирующих обработку персональных данных Клиента.

1.3. Осуществление полномочий по обработке данных

Оператор вправе осуществлять полномочия по обработке персональных данных Клиентов других организаций по договору аутсорсинга, которая в дальнейшем также именуется Оператором. В указанном случае, Оператор и организация, с которой заключен такой договор, солидарно отвечают перед Клиентом, права которого нарушены, за причиненный таким нарушением материальный ущерб и моральный вред. Клиент вправе по своему усмотрению предъявить соответствующие требования к любой из указанных организаций. Принципы распределения последствий такого возмещения Клиенту между организациями, устанавливаются в соответствующем договоре аутсорсинга.

Понятие и состав персональных данных Клиента

2.1. Персональные данные Клиента

Персональные данные Клиента - любая информация, относящаяся прямо или косвенно к клиенту (субъекту персональных данных).

2.2. Сведения, относящиеся к персональным данным Клиента

фамилия, имя, отчество;
электронная почта;
адрес места жительства и мобильный телефон;
виды и объём оказанных Клиенту услуг;
иные сведения о Клиенте, необходимые для выполнения договора и позволяющие идентифицировать его личность.

Сбор, цели обработки и защита персональных данных Клиента

3.1. Обработка персональных данных Клиента осуществляется:

3.1.1. После заключения договора

Подробное описание обработки данных после заключения договора...

3.1.2. После направления уведомления

Действия по обработке данных после уведомления в орган государственного надзора...

3.1.3. После принятия мер по защите данных

Описание мер по защите данных, предпринимаемых оператором...

3.2. Все персональные данные Клиента следует получать лично у Клиента или у его законного представителя.

Если персональные данные Клиента возможно получить только у третьей стороны, то Клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

3.3. Оператор сообщает Клиенту или его законному представителю о целях обработки персональных данных, предполагаемых источниках и способах получения персональных данных.

Подробное описание обязательств оператора по информированию клиентов о целях и способах обработки персональных данных...

3.4. При обращении за получением услуг Клиент (или его законный представитель) предоставляет Оператору персональные данные о себе в документированной форме. А именно:

3.5. Оператор с согласия Клиента может запрашивать и получать персональные данные Клиента, используя информационные системы персональных данных с применением средств автоматизации.

3.6. Обработка Оператором персональных данных Клиента осуществляется исключительно в целях оказания Клиенту предусмотренных договором качественных услуг в необходимых объёмах, соблюдения требований действующего законодательства, иных нормативных правовых актов.

3.7. Оператор при определении объема и содержания обрабатываемых персональных данных Клиента руководствуется Конституцией Российской Федерации, иными нормативными правовыми актами в сфере обработки персональных данных и защиты информации.

3.8. Защита персональных данных Клиента от неправомерного их использования или утраты обеспечивается Оператором за счет собственных средств в порядке, установленном законодательством, и принятыми Оператором в соответствии с ним локальными нормативными актами.

4. Порядок использования, хранения, передачи персональных данных Клиента

4.1. Персональные данные Клиентов у Оператора содержатся в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. В информационных системах персональные данные могут быть размещены на материальных, в том числе бумажных носителях.

4.2. Доступ к обработке персональных данных Клиентов (как с использованием средств автоматизации, так и без использования средств автоматизации) обеспечивается в установленном Оператором порядке.

4.3. Конкретные обязанности по работе с информационными системами персональных данных и материальными носителями информации, в том числе с документами, содержащими персональные данные Клиентов, возлагаются на сотрудников Оператора и закрепляются в должностных инструкциях.

4.4. Работа с информационными системами персональных данных, материальными носителями, в том числе с документацией, содержащими персональные данные Клиентов, осуществляется в специально отведённых для этого помещениях.

4.5. Требования к месту обработки персональных данных, в том числе к серверной, обеспечивающие их защищённость устанавливаются Оператором.

4.6. Перечень лиц, имеющих право доступа к персональным данным Клиентов и обработке их персональных данных, определяется приказом руководителя Оператора.

4.7. С лицами, допущенными к обработке персональных данных Клиентов, заключается Соглашение о неразглашении, или вносятся соответствующие изменения в трудовой договор с ним.

4.8. Лица, допущенные в установленном порядке к обработке персональных данных, имеют право обрабатывать только те персональные данные Клиентов, которые необходимы для выполнения договора.

4.9. Оператор при создании и эксплуатации информационных систем персональных данных Клиентов с использованием средств автоматизации обеспечивает проведение классификации информационных систем в установленном порядке.

4.10. Оператор при создании и эксплуатации информационных систем персональных данных Клиентов с использованием средств автоматизации и без использования средств автоматизации принимает все необходимые организационные и технические меры, обеспечивающих выполнение установленных действующим законодательством требований к обработке персональных данных.

4.11. Оператор по достижении целей обработки персональных данных Клиента обязан прекратить обработку этих персональных данных и обеспечить их уничтожение в установленном порядке.

4.12. Меры безопасности при работе с данными: Оператор принимает необходимые меры безопасности при обработке персональных данных Клиентов, включая, но не ограничиваясь, аутентификацию доступа, резервное копирование данных, регулярные проверки на наличие уязвимостей и мониторинг защиты информационных систем.

4.13. Аудит и контроль: Оператор проводит периодические аудиты безопасности и контроль за соблюдением требований настоящего Положения и законодательства Российской Федерации в области защиты персональных данных. Результаты аудитов и контроля регистрируются и используются для улучшения системы безопасности.

4.14. Обучение и осведомленность сотрудников: Оператор обеспечивает обучение сотрудников, имеющих доступ к персональным данным Клиентов, вопросам защиты данных и соблюдения конфиденциальности. Все сотрудники Оператора должны быть осведомлены о своих обязанностях и правах при обработке персональных данных.

4.15. Уничтожение данных: По окончании срока хранения или по достижении целей обработки, персональные данные Клиентов подлежат уничтожению в соответствии с установленными процедурами и регламентами, предусмотренными законодательством и внутренними документами Оператора.

5. Права Клиентов при обработке Оператором их персональных данных

5.1. Права Клиентов

предоставление Оператором полной информации об их персональных данных и обработке этих данных;
свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные Клиента, за исключением случаев, предусмотренных федеральным законом;
определение своих представителей для защиты своих персональных данных;
требование уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
требование об извещении Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные Клиента, обо всех произведенных в них исключениях, исправлениях или дополнениях;
обжалование действий или бездействия оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

6. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных Клиентов

6.1 Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.

6.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, законодательством, а также требований к защите персональных данных подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

6.3. Сотрудники Оператора, получившие в установленном порядке доступ к персональным данным обучающихся, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных обучающихся привлекаются к ответственности, предусмотренной действующим законодательством.

7. Заключительные положения

Настоящая редакция Положения вступает в законную силу с 27.02.2024 года и действует до утверждения нового положения.