ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ И КОНТРАГЕНТОВ
25.05.2025г.
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящим Положением (далее – Положение) устанавливается порядок обработки и защиты персональных данных (далее – ПДн) Клиентов и Контрагентов ООО НодаСофт (ИНН/КПП 7731525831 / 773001001), расположенному по адресу: 121087, город Москва, Барклая ул, д. 6 стр. 5, ком. 22м1,1.2. Настоящее Положение разработано в соответствии с Конституцией РФ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информатизации, информационных технологиях и о защите информации», Постановлениями Правительства РФ от 15.09.2008 №687 и от 01.11.2012 № 1119 и иными нормативными актами, действующими на территории Российской Федерации.
1.3. Персональные данные не могут быть использованы Оператором или его сотрудниками в целях причинения имущественного и морального вреда Клиентам/Контрагентам, затруднения реализации их прав и свобод.
1.4. Оператор обязан осуществлять обработку и защиту ПДн только на законной и справедливой основе.
1.5. Обработка и защита ПДн Клиентов/Контрагентов должна ограничиваться достижением законных, конкретных и заранее определенных в договоре с Клиентами/Контрагентами целей. Обработке подлежат только те персональные данные Клиентов/Контрагентов, и только в том объеме, которые отвечают целям их обработки, определенным в договоре с Клиентами/Контрагентами или законодательством Российской Федерации.
1.6. Обрабатываемые персональные данные Клиентов/Контрагентов подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
1.7. Настоящее Положение и изменения к нему утверждаются Оператором и вводятся приказом по основной деятельности индивидуального предпринимателя Тульского Сергея Ивановича. Все сотрудники Оператора должны быть ознакомлены под подпись с данным Положением и изменениями к нему. Настоящее Положение является обязательным для исполнения всеми сотрудниками Оператора, имеющими доступ к персональным данным Клиентов/Контрагентов.
2. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТА
2.1 Под Клиентами/Контрагентов Оператора в интересах настоящего Положения понимаются: физические лица и юридические лица (субъекты персональных данных), заключившие с Оператором договор на предоставление услуг по ремонту и обслуживанию автомобилей и покупке запасных частей на легковые автомобили.
2.2 Под персональными данными Клиента/Контрагента понимается любая информация о субъекте персональных данных, необходимая Оператору в связи с исполнением им договорных обязательств перед Клиентом/Контрагентов.
2.3 ПДн Клиента/Контрагента относятся к категории конфиденциальной информации. Оператор обеспечивает конфиденциальность персональных данных, и обязан не допускать их распространения без согласия Клиента/Контрагента, либо наличия иного законного основания.
2.4 Все меры конфиденциальности при сборе, обработке и хранении персональных данных Клиента/Контрагента распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
2.5 Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем, по которому является Клиент/Контрагент, а также для заключения договора по инициативе Клиента/Контрагента или договора, по которому Клиент/Контрагент будет являться выгодоприобретателем;
2.6 Обработка персональных данных Клиента/Контрагента необходима для соблюдения прав и законных интересов Оператора или иных третьих лиц при соблюдении условия, что при этом не нарушаются права и свободы Клиента/Контрагента.
2.7 Обработка персональных данных Оператором в интересах Клиента/Контрагента заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа персональных данных Клиентов/Контрагентов.
2.8 В целях обеспечения прав и свобод человека и гражданина Оператор и его представители при обработке ПДн Клиента/Контрагента соблюдают следующие общие требования:
2.8.1 При определении объема и содержания, обрабатываемых ПДн Клиента/Контрагента Оператор руководствуется законодательством Российской Федерации.
2.8.2 Все ПДн Клиента/Контрагента Оператор получает у него самого, за исключением случаев, когда их получение возможно только у третьей стороны способом, не противоречащим законодательству Российской Федерации.
2.8.3 Обработка ПДн, полученных от третьих лиц, возможна только при уведомлении субъекта ПДн.
2.8.4 Оператор не получает и не обрабатывает ПДн Клиента/Контрагента о его политических, религиозных и иных убеждениях и частной жизни.
2.8.5 ПДн не используются в целях причинения какого-либо ущерба (вреда) Клиенту/Контрагенту затруднения реализации его прав и свобод.
2.9 При идентификации Представителя Клиента/Контрагента Оператор требует предъявление документов, удостоверяющих личность и подтверждающих полномочия представителя.
2.10 При заключении договора, как и в ходе его исполнения, может возникнуть необходимость в предоставлении Клиентом/Контрагентом иных документов, содержащих информацию о нем.
2.11 После принятия решения о заключении договора или представления документов, подтверждающих полномочия представителя, а также впоследствии, в процессе выполнения договора, ПДн Клиента/Контрагента так же будут включены в договоры, включение в которые персональных данных Клиента/Контрагента необходимо согласно действующему законодательству Российской Федерации.
2.12 Согласие Представителя субъекта на обработку его персональных данных дается в форме конклюдентных действий, выраженных в предоставлении доверенности на право действовать от имени и по поручению субъектов персональных данных, и документа, удостоверяющего его личность.
2.13 Оператор по мотивированному требованию уполномоченного органа государственной власти, иного государственного органа предоставляет им на безвозмездной основе сведения, содержащие персональные данные, в объеме и на условиях, указанных в законодательстве РФ.
2.13.1 Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации. В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, Оператор обязан получить согласие субъекта ПДн на предоставление его персональных данных и предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.
3. ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1 Защита персональных данных Клиентов/Контрагентов от неправомерного их использования или утраты обеспечивается Оператором в порядке, установленном законодательством РФ.
3.2 Защите подлежит:
- информация о персональных данных субъекта;
- документы, содержащие персональные данные субъекта;
- персональные данные, содержащиеся на электронных носителях.
3.3 Все Работники Оператора, имеющие доступ к персональным данным Клиентов/Контрагентов, обязаны подписать соглашение о неразглашении персональных данных.
3.4 Ответственные лица соответствующих подразделений, хранящих персональные данные на бумажных носителях и машинных носителях информации, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному постановлением правительства РФ 15 сентября 2008 № 687.
3.5 Ответственные лица структурных подразделений, обрабатывающие персональные данные в информационных системах персональных данных и машинных носителях информации, обеспечивают защиту в соответствии с постановлением Правительства РФ № 1119 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства РФ № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» и другими нормативными, нормативно-методическими, методическими документами Оператора.
3.6 Оператор обязан блокировать персональные данные, в случае:
- предоставления субъектом персональных данных сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту персональных данных и обработку которых осуществляет Оператор, являются неполными, неточными, неактуальными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- выявления неправомерной обработки персональных данных Оператор при обращении или по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных.
3.7 Если Оператор с согласия Клиента/Контрагента поручает обработку персональных данных Клиента/Контрагента третьему лицу, то Оператор обязан на договорной основе обременить это третье лицо обязанностью соблюдения конфиденциальности персональных данных Клиента/Контрагента.
4. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТА
4.1 Сведения о Клиентах/Контрагентах хранятся на бумажных носителях в помещении Оператора. Для хранения носителей используются специально оборудованные шкафы и сейфы, которые запираются и опечатываются при необходимости, и сдаются под охрану.
4.2 Персональные данные Клиентов/Контрагентов могут так же храниться в электронном виде, доступ к которым ограничен и регламентируется внутренними документами Оператора.
4.3 Внутренний доступ (доступ внутри организации) к персональным данным Клиентов/Контрагентов имеют работники Оператора, допущенные к обработке персональных данных внутренним документом Оператора (приказ, распоряжение).
4.4 Хранение персональных данных Клиента/Контрагента должно осуществляться в форме, позволяющей определить Клиента/Контрагента, не дольше, чем этого требуют цели их обработки и требование законодательства о порядке хранения документов. Персональные данные Клиента/Контрагента подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
4.5 Сроки хранения документов, содержащих персональные данные Клиента/Контрагента, определяются в соответствие со сроком действия договора с Клиентом/ Контрагентом, сроком исковой давности, а также иными требованиями законодательства РФ и нормативными документами.
5. ОБЯЗАННОСТИ КЛИЕНТА, КОНТРАГЕНТА И ОПЕРАТОРА
В целях обеспечения достоверности персональных данных,
5.1 Клиент/Контрагент обязан:
5.1.1 При заключении договора предоставить Оператору полные и достоверные данные о себе;
5.1.2 В случае изменения сведений, составляющих персональные данные Клиента/Контрагента, незамедлительно, но не позднее пяти рабочих дней, предоставить данную информацию Оператору, если более короткий срок не предусмотрен договором между Оператором и Клиентом/Контрагентом.
5.2 Оператор обязан:
5.2.1 Обеспечить защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ;
5.2.2 Ознакомить Клиента/Контрагента или их законных представителей с настоящим положением и его правами в области защиты персональных данных в том числе путем размещения его текста на официальном сайте Оператора;
5.2.3 Обеспечить хранение первичной учетной документации. При этом персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные.
5.2.4 Вести учет передачи персональных данных Клиента/Контрагента третьим лицам в соответствии с внутренним порядком, установленным Оператором.
5.2.5 В случае реорганизации или ликвидации Оператора учет и сохранность документов, порядок передачи их на государственное хранение осуществлять в соответствии с правилами, предусмотренными учредительными документами и действующим законодательством Российской Федерации.
5.2.6 Вести учет обращений субъектов персональных данных в части Федерального закона №152- ФЗ.
5.2.7 Осуществлять передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации.
5.2.8 По требованию субъекта или его законного представителя предоставить ему полную информацию о его персональных данных и обработке этих данных.
6. ПРАВА КЛИЕНТОВ ИЛИ КОНТРАГЕНТОВ В ЦЕЛЯХ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1 В целях обеспечения защиты персональных данных, хранящихся у Оператора, Клиенты/ Контрагенты имеют право на:
6.1.1 Полную информацию о составе персональных данных и их обработке, в частности Клиент/ Контрагент имеет право знать, кто и в каких целях использует или использовал информацию о его персональных данных.
6.1.2 Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные Клиента/Контрагента, за исключением случаев, предусмотренных законодательством РФ.
6.1.3 Определение своих представителей для защиты своих персональных данных.
6.1.4 Требование об исключении или исправлении неверных, или неполных устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для Оператора персональных данных. При отказе Оператора исключить или исправить персональные данные Клиента/Контрагента он имеет право заявить в письменной форме Оператору о своем несогласии с соответствующим обоснованием такого несогласия.
6.1.5 Обжалование в суд любых неправомерных действий или бездействия Оператора при обработке и защите его персональных данных.
7. ОТВЕТСТВЕННОСТЬ
7.1. Ответственность за исполнение требований настоящего Положения несут сотрудники структурных подразделений Оператора, на которых возложена ответственность за обработку персональных данных Клиентов/Контрагентов, в том числе предоставление персональных данных, внесение изменений в персональные данные, прекращение обработки персональных данных.
7.2. Ответственность за соблюдение режима персональных данных по отношению к персональным данным, находящимся у сотрудников на персональных компьютерах и в документарной форме, несут данные сотрудники.
7.3. Лица, виновные в нарушении требований Положения, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством РФ.
8. ОБЕСПЕЧЕНИЕ НЕОГРАНИЧЕННОГО ДОСТУПА К НАСТОЯЩЕМУ ПОЛОЖЕНИЮ
8.1 Организация во исполнение требований п.2. ст.18.1. Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных» для обеспечения неограниченного доступа к сведениям о реализуемых Обществом мероприятиях по защите персональных данных, и к документам, определяющим политику Общества в отношении обработки персональных данных, размещает текст настоящего Положения на своем общедоступном сайте: https://gabarit.ru/
