Положение о защите персональных данных клиента

УТВЕРЖДАЮ

Индивидуальный предприниматель

ИП Алипа Яна Михайловна

_____________________

03.02.2025 г.


1. Общие положения
1.1. Цель данного Положения – обеспечение требований защиты прав граждан при обработке
их персональных данных. Персональные данные могут обрабатываться только для целей,
непосредственно связанных с деятельностью Алипа Я.М. (далее – Оператор). Оператор собирает
данные только в объеме, необходимом для достижения названных целей.
1.2. Сбор, хранение, использование и распространение, в том числе передача третьим лицам
персональных данных без письменного согласия клиента не допускаются.
1.3. Режим конфиденциальности персональных данных снимается в случаях обезличивания
или включения их в общедоступные источники персональных данных, если иное не определено
законом.
1.4. Ответственные за обработку персональных данных, обязаны обеспечить каждому
возможность ознакомления с документами и материалами, непосредственно затрагивающими
его права и свободы, если иное не предусмотрено законом.
1.5. Персональные данные не могут быть использованы в целях причинения имущественного
и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской
Федерации.
1.6. Ограничение прав граждан Российской Федерации на основе использования информации
об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной
принадлежности запрещено и карается в соответствии с законодательством.
1.7. Юридические и физические лица, в соответствии со своими полномочиями владеющие
информацией о гражданах, получающие и использующие ее, несут ответственность в
соответствии с законодательством Российской Федерации за нарушение режима защиты,
обработки и порядка использования этой информации.
1.8. Настоящее положение утверждается индивидуальным предпринимателем и является
обязательным для исполнения всеми лицами, имеющими доступ к персональным данным.
2. Понятие и состав персональных данных
2.1. Персональные данные – любая информация, относящаяся к определенному или
определяемому на основании такой информации физическому лицу, в том числе его фамилия,
имя, отчество, год, месяц, дата и место рождения, адрес, другая информация.
2.2. К персональным данным, которые обрабатывает Оператор, относятся:
- фамилия, имя, отчество;
- номер телефона/мессенджер;
- паспортные данные;
- адрес электронной почты;
- иная информация, которую граждане добровольно сообщают о себе.
3. Принципы обработки персональных данных Клиента
3.1. Обработка персональных данных должна осуществляться на основе принципов:
- законности целей и способов обработки персональных данных и добросовестности;
- соответствия целей обработки персональных данных целям, заранее определенным и
заявленным при сборе персональных данных, а также полномочиям Оператора;
- соответствия объема и характера обрабатываемых персональных данных, способов
обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их достаточности для целей обработки,
недопустимости обработки персональных данных, избыточных по отношению к целям,
заявленным при сборе персональных данных;
- недопустимости объединения созданных для несовместимых между собой целей баз данных
информационных систем персональных данных;
- уничтожения персональных данных после достижения целей обработки или в случае утраты
необходимости в их достижении;
- личной ответственности за сохранность и конфиденциальность персональных данных, а
также носителей этой информации;
- наличие четкой разрешительной системы доступа к документам и базам данных,
содержащим персональные данные.
4. Обязанности Оператора
4.1. В целях обеспечения прав и свобод человека и гражданина Оператор при обработке
персональных данных Клиента обязан соблюдать следующие общие требования:
- обработка персональных данных Клиента может осуществляться исключительно в целях
оказания законных услуг Клиентам;
- персональные данные Клиента следует получать у него самого. Если персональные данные
клиента возможно получить только у третьей стороны, то клиент должен быть уведомлен об
этом заранее и от него должно быть получено письменное согласие.
- Оператор должен сообщить клиентам о целях, предполагаемых источниках и способах
получения персональных данных, а также о характере подлежащих получению персональных
данных и последствиях отказа клиента дать письменное согласие на их получение;
- Оператор не имеет права получать и обрабатывать персональные данные Клиента о его
расовой, национальной принадлежности, политических взглядов, религиозных или философских
убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных
законом. В частности, Оператор вправе обрабатывать указанные персональные данные Клиента
только с его письменного согласия. при наличии надлежащим образом оформленного запроса
предоставлять Клиенту доступ к его персональным данным. хранение и защита персональных
данных Клиента от неправомерного их использования или утраты должна быть обеспечена
Оператором за счет ее средств в порядке, установленном законодательством;
- в случае выявления недостоверных персональных данных или неправомерных действий с
ними Оператора при обращении или по запросу Клиента либо уполномоченного органа по
защите прав субъектов персональных данных Оператор обязан осуществить блокирование
персональных данных на период проверки.
4.2. В случае подтверждения факта недостоверности персональных данных Оператор на
основании документов, представленных Клиентом либо уполномоченным органом по защите
прав субъектов персональных данных, или иных необходимых документов обязан уточнить
персональные данные и снять их блокирование.
4.3. В случае достижения цели обработки персональных данных Оператор обязан
незамедлительно прекратить обработку персональных данных и уничтожить соответствующие
персональные данные в срок, не превышающий трех рабочих дней, и уведомить об этом
Клиента, а в случае, если обращение или запрос были направлены уполномоченным органом по
защите прав субъектов персональных данных, также указанный орган.
4.4. В случае отзыва Клиентом согласия на обработку своих персональных данных Оператор
обязан прекратить обработку персональных данных и уничтожить персональные данные в срок,
не превышающий трех рабочих дней, если иное не предусмотрено соглашением между
Оператором и Клиентом. Об уничтожении персональных данных Оператор обязан уведомить
Клиента.
5. Права Клиента
Право на доступ к информации о самом себе.
Право на определение форм и способов обработки персональных данных.
Право на отзыв согласия на обработку персональных данных.
Право ограничивать способы и формы обработки персональных данных, запрет на
распространение персональных данных без его согласия.
Право требовать изменение, уточнение, уничтожение информации о самом себе.
Право обжаловать неправомерные действия или бездействия по обработке персональных
данных и требовать соответствующей компенсации в суде.
Право определять представителей для защиты своих персональных данных.
Право требовать от Оператора уведомления всех лиц, которым ранее были сообщены
неверные или неполные персональные данные Клиента, обо всех произведенных в них
изменениях или исключениях из них.
6. Порядок получения персональных данных.
6.1. Все персональные данные Клиента следует получать у него самого после предоставления
им письменного согласия. Письменное согласие включает в себя: фамилию, имя, отчество, адрес
субъекта персональных данных, номер основного документа, удостоверяющего его личность,
сведения о дате выдачи указанного документа и выдавшем его органе; наименование (фамилию,
имя, отчество) и адрес Оператора, получающего согласие Клиента; цель обработки
персональных данных; перечень персональных данных, на обработку которых дается согласие
Клиента; перечень действий с персональными данными, на совершение которых дается
согласие, общее описание используемых Оператором способов обработки персональных данных;
срок, в течение которого действует согласие, а также порядок его отзыва.
6.2. Согласие не требуется:
- если обработка персональных данных необходима для достижения целей, предусмотренных
международным договором Российской Федерации или законом, для осуществления и
выполнения возложенных законодательством Российской Федерации на оператора функций,
полномочий и обязанностей;
- обработка персональных данных необходима для осуществления правосудия, исполнения
судебного акта, акта другого органа или должностного лица, подлежащих исполнению в
соответствии с законодательством Российской Федерации об исполнительном производстве
(далее - исполнение судебного акта);
- обработка персональных данных необходима для предоставления государственной или
муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года N 210-ФЗ
"Об организации предоставления государственных и муниципальных услуг", для обеспечения
предоставления такой услуги, для регистрации субъекта персональных данных на едином
портале государственных и муниципальных услуг;
- обработка персональных данных необходима для исполнения договора, стороной которого
либо выгодоприобретателем или поручителем по которому является субъект персональных
данных, а также для заключения договора по инициативе субъекта персональных данных или
договора, по которому субъект персональных данных будет являться выгодоприобретателем или
поручителем;
- обработка персональных данных необходима для защиты жизни, здоровья или иных
жизненно важных интересов субъекта персональных данных, если получение согласия субъекта
персональных данных невозможно; -
- обработка персональных данных необходима для осуществления прав и законных интересов
оператора или третьих лиц либо для достижения общественно значимых целей при условии, что
при этом не нарушаются права и свободы субъекта персональных данных;
- обработка персональных данных необходима для осуществления профессиональной
деятельности журналиста и (или) законной деятельности средства массовой информации либо
научной, литературной или иной творческой деятельности при условии, что при этом не
нарушаются права и законные интересы субъекта персональных данных;
- обработка персональных данных осуществляется в статистических или иных
исследовательских целях, за исключением целей, указанных в статье 15 настоящего
Федерального закона, при условии обязательного обезличивания персональных данных;
- осуществляется обработка персональных данных, доступ неограниченного круга лиц к
которым предоставлен субъектом персональных данных либо по его просьбе (далее -
персональные данные, сделанные общедоступными субъектом персональных данных);
- осуществляется обработка персональных данных, подлежащих опубликованию или
обязательному раскрытию в соответствии с федеральным законом.
6.3. При сборе персональных данных Оператор обязан предоставить субъекту персональных
данных по его просьбе следующую информацию:
- подтверждение факта обработки персональных данных Оператора, а также цель такой
обработки; способы обработки персональных данных, применяемые Оператором;
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть
предоставлен такой доступ; перечень обрабатываемых персональных данных и источник их
получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- сведения о том, какие юридические последствия для субъекта персональных данных может
повлечь за собой обработка его персональных данных.
6.4. К обработке, передаче и хранению персональных данных Клиента могут иметь доступ
только лица, допущенные к работе с персональными данными Клиента.
6.5. При передаче персональных данных Клиента Оператор должен соблюдать следующие
требования:
- не сообщать персональные данные Клиента третьей стороне без его письменного согласия;
- предупредить лиц, получающих персональные данные Клиента о том, что эти данные могут
быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц
подтверждения того, что это правило соблюдено.
- разрешать доступ к персональным данным Клиентов только специально уполномоченным
лицам, при этом указанные лица должны иметь право получать только те персональные данные
Клиента, которые необходимы для выполнения конкретных функций не запрашивать
информацию о судимости Клиента.
6.6. Лица, получающие персональные данные Клиента, обязаны соблюдать режим
конфиденциальности. Данное положение не распространяется в случае обезличивания
персональных данных и в отношении общедоступных данных.
7. Хранение персональных данных
7.1. Персональные данные Клиента хранятся в его личном деле.
7.2. Организация работы с Клиентом должна быть подчинена, в том числе, решению задач
обеспечения безопасности персональных данных, их защиты:
- при работе с Клиентом не должны выполняться функции, не связанные с приемом:
служебные и личные переговоры по телефону. На столе не должно быть никаких документов,
кроме тех, которые касаются данного посетителя;
- не допускается отвечать на вопросы, связанные с передачей персональных данных по
телефону;
- личные дела Клиентов, журналы и книги учета, содержащие персональные данные
Клиентов, хранятся в рабочее и нерабочее время в металлических запирающихся шкафах. Не
разрешается при выходе из помещения оставлять какие-либо документы, содержащие
персональные данные, на рабочем столе или оставлять шкафы не запертыми;
- На рабочем столе должен всегда находиться только тот массив документов и учетных
карточек, с которым в настоящий момент он работает. Другие документы, дела, карточки,
журналы должны находиться в запертом шкафу.
- Исполняемые документы не разрешается хранить в россыпи. Их следует помещать в папки,
на которых указывается вид производимых с ними действий (подшивка в личные дела, для
отправки и пр.).
- в конце рабочего дня все документы, дела, листы бумаги и блокноты с рабочими записями,
инструктивные и справочные материалы должны быть убраны в металлические шкафы, сейфы.
На рабочем столе не должно оставаться ни одного документа.
8. Доступ к персональным данным Клиента
8.1. Внутренний доступ (доступ внутри организации).
Право доступа к персональным данным Клиента имеет Алипа Я.М.
8.2. Внешний доступ. Персональные данные Клиента могут быть предоставлены третьим
лицам только с письменного согласия Клиента. Оператор обеспечивает ведение журнала учета
выданных персональных данных Клиента, в котором фиксируются сведения о лице, которому
передавались персональные данные Клиента, дата передачи персональных данных или дата
уведомления об отказе в предоставлении персональных данных, а также отмечается, какая
именно информация была передана.
8.3. Доступ Клиента к своим персональным данным предоставляется при обращении либо при
получении запроса Клиента. Оператор обязан сообщить Клиенту информацию о наличии
персональных данных о нем, а также предоставить возможность ознакомления с ними в течение
десяти рабочих дней с момента обращения.
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта
персональных данных или его законного представителя, сведения о дате выдачи указанного
документа и выдавшем его органе и собственноручную подпись субъекта персональных данных
или его законного представителя. Запрос может быть направлен в электронной форме и
подписан электронной цифровой подписью в соответствии с законодательством Российской
Федерации. Клиент имеет право на получение при обращении или при получении запроса
информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных Оператором, а также цель такой
обработки способы обработки персональных данных, применяемые Оператором сведения о
лицах, которые имеют доступ к персональным данным или которым может быть предоставлен
такой доступ перечень обрабатываемых персональных данных и источник их получения сроки
обработки персональных данных, в том числе сроки их хранения сведения о том, какие
юридические последствия для Клиента может повлечь за собой обработка его персональных
данных.
8.4. Сведения о наличии персональных данных должны быть предоставлены Клиенту в
доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим
субъектам персональных данных.
8.5. Право Клиента на доступ к своим персональным данным ограничивается в случае, если
предоставление персональных данных нарушает конституционные права и свободы других лиц.
8.6. Защита персональных данных Защита персональных данных работника от
неправомерного их использования или утраты обеспечивается Оператором за счет его средств в
порядке, установленном федеральным законом.
8.7. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту
персональных данных Клиента, несут дисциплинарную, административную, гражданскоправовую или уголовную ответственность в соответствии с федеральными законами.
8.8. Все лица, связанные с получением, обработкой и защитой персональных данных Клиента
обязаны заключить «Соглашение о неразглашении персональных данных Клиента».
8.9. Уточнение, блокирование и уничтожение персональных данных Блокирование
информации, содержащие персональные данные Клиента, производится в случае: если
персональные данные являются неполными, устаревшими, недостоверными если сведения
являются незаконно полученными или не являются необходимыми для заявленной цели
обработки.
8.10. В случае подтверждения факта недостоверности персональных данных Оператор на
основании документов, представленных Клиентом, уполномоченным органом по защите прав
субъектов персональных данных или полученных в ходе самостоятельной проверки, обязан
уточнить персональные данные и снять их блокирование.
8.11. В случае выявления неправомерных действий с персональными данными Оператор
обязан устранить допущенные нарушения. В случае невозможности устранения допущенных
нарушений Оператор в срок, не превышающий трех рабочих дней с момента выявления
неправомерности действий с персональными данными, обязан уничтожить персональные
данные.
Об устранении допущенных нарушений или об уничтожении персональных данных Оператор
обязан уведомить Клиента, а в случае, если обращение или запрос были направлены
уполномоченным органом по защите прав субъектов персональных данных, также указанный
орган.
8.12. Оператор обязан уничтожить персональные данные Клиента в случае: достижения цели
обработки персональных данных; отзыва Клиентом согласия на обработку своих персональных
данных. Уничтожение персональных данных должно быть осуществлено в течение трех дней с
указанных моментов. Соглашением Оператором с Клиентом могут быть установлены иные
сроки уничтожения персональных данных при достижении цели обработки персональных
данных. Оператор должен направить уведомление об уничтожении персональных данных
Клиенту, а в случае, если обращение или запрос о недостоверности персональных данных были
направлены уполномоченным органом по защите прав субъектов персональных данных, также
указанный орган.
8.13. Оператор ответственный за персональную информацию, которая находится в его
распоряжении.
8.14. Оператор обязуется поддерживать систему приема, регистрации и контроля
рассмотрения жалоб клиентов, доступную как посредством использования Интернета, так и с
помощью телефонной, телеграфной или почтовой связи.
8.15. Любое лицо может обратиться к Оператору с жалобой на нарушение данного
Положения. Жалобы и заявления по поводу соблюдения требований обработки данных
рассматриваются в десятидневный срок со дня поступления. Оператор обязан на должном
уровне обеспечивать рассмотрение запросов, заявлений и жалоб клиентов, а также содействовать
исполнению требований компетентных органов. Лица, виновные в нарушении требований

настоящего положения привлекаются к дисциплинарной ответственности