Положение о работе с персональными данными

ПОЛОЖЕНИЕ
о работе с персональными данными
Индивидуального предпринимателя Гиниятуллиной Лианы Фларидовны
в магазине одежды «Lima Krasota»

Термины и определения.
В настоящем Положении о работе с персональными данными клиентов Индивидуального предпринимателя Гиниятуллиной Лианы Фларидовны (далее – Положение) используются следующие основные понятия:
- персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
- обработка персональных данных - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных;
- субъект обработки персональных данных – физическое лицо, чьи данные обрабатываются;
- конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия субъекта или иного законного основания;
- распространение персональных данных - действия, направленные на передачу персональных данных субъектов определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
- использование персональных данных - действия (операции) с персональными данными, совершаемые должностным лицом Организации в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
- уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному физическому лицу;
- общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
- информация - сведения (сообщения, данные) независимо от формы их представления;
- документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель;
- информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1. Общие положения.
1.1. Настоящее Положение является локальным нормативно правовым актом Индивидуального предпринимателя Гиниятуллиной Лианы Фларидовны (далее – ИП Гиниятуллина Л.Ф., Оператор), являющимся оператором персональных данных.
1.2. Положение о работе с персональными данными клиентов ИП Гиниятуллиной Л.Ф. разработано в соответствии с положениями Трудового кодекса РФ, Гражданского кодекса РФ, Федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ, Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ и иных нормативно-правовых актов, действующих на территории Российской Федерации.
1.3. Настоящее положение определяет порядок работы (сбора, обработки, использования, распространения, хранения и т. д.) с персональными данными клиентов и гарантии конфиденциальности сведений о клиентах ИП Гиниятуллиной Л.Ф.
1.4. Настоящее положение разработано в целях:
- регламентации порядка осуществления операций с персональными данными клиентов ИП Гиниятуллиной Л.Ф.;
- обеспечения требований закона № 152-ФЗ и иных правовых актов, регулирующих использование персональных данных;
- обеспечение защиты прав и свобод человека и гражданина, в том числе клиентов ИП Гиниятуллиной Л.Ф., при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.5. Настоящее положение вступает в силу в момент его утверждения отдельным приказом ИП Гиниятуллиной Л.Ф. и действует бессрочно до замены новым локальным правовым актом аналогичного назначения.
1.6. Условие прекращения обработки персональных данных – прекращение деятельности ИП Гиниятуллиной Л.Ф.

2. Критерии отнесения информации к персональным данным. Состав персональных данных, источники получения.
2.1. Настоящее положение устанавливает, что к персональным данным клиентов ИП Гиниятуллиной Л.Ф. относится любая информация, относящаяся к конкретному физическому лицу.
2.2. Полный перечень персональных данных различных категорий субъектов персональных данных, обрабатываемых в организации, устанавливается приказом ИП Гиниятуллиной Л.Ф.
2.3. Персональные данные клиентов ИП Гиниятуллиной Л.Ф.:
2.3.1. В состав персональных данных клиентов ИП Гиниятуллиной Л.Ф., обрабатываемых на регулярной основе, входит Ф.И.О. клиента, дата рождения, номер телефона.

3. Сбор и обработка персональных данных.
3.1. Порядок сбора персональных данных:
3.2. Перед обработкой персональных данных Оператор обязан получить согласие, если закон не предоставляет права обрабатывать персональные данные без согласия клиентов. Согласие на обработку персональных данных не требуется в случае, если:
- персональные данные являются общедоступными;
- по требованию полномочных государственных органов - в случаях, предусмотренных федеральным законом, а также в иных случаях, предусмотренных законодательством Российской Федерации.
3.3. В целях получения согласия субъекта при направлении персональных данных удаленно (например, при подаче заявки онлайн), предусмотрена возможность подачи согласия на обработку персональных данных путем отметки галочкой соответствующего пункта в форме подачи заявки.
3.4. Субъекты принимают решение о предоставлении персональных данных и дают согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных даётся в письменной форме, утверждённой локальными-нормативными актами ИП Гиниятуллиной Л.Ф., и должно быть конкретным, информированным и сознательным.
3.5. Согласие на обработку персональных данных может быть отозвано субъектом. В случае отзыва субъектом согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия клиентов при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных» от 27 июля 2006 г. № 152-ФЗ.
3.6. Оператор не имеет право получать и обрабатывать персональные данные клиентов о его политических, религиозных и иных убеждениях и частной жизни.
3.7. Обработка персональных данных:
3.7.1 Персональные данные клиента предоставляются самим клиентом в устном виде при непосредственном визите к Оператору, либо направляются самим клиентом через электронные источники сбора персональных данных:
- WatsApp;
3.7.2. При предоставлении персональных данных через электронные источники сбора клиент даёт согласие (ставит галочку в соответствующей графе) в электронном виде под формой записи.

4. Хранение и использование персональных данных.
4.1. Персональные данные клиентов хранятся в информационных системах (электронных базах) персональных данных:
- Яндекс диск;
- 1С.
4.1.1. Доступ к электронным базам данных, содержащим персональные данные клиентов, обеспечивается через идентификацию и проверку подлинности пользователя при входе в информационную систему по паролю условно-постоянного действия. Пароли устанавливаются Оператором и сообщаются индивидуально должностным лицам, имеющим доступ к персональным данным клиентов.
4.1.2. Доступ к персональным данным клиентов в бумажном и (или) электронном виде имеют лица, перечень которых утверждён приказом ИП Гиниятуллиной Л.Ф.
4.1.3. Копировать и делать выписки из персональных данных клиентов разрешается исключительно в служебных целях с письменного разрешения Оператора и (или) лица, ответственного за организацию защиты персональных данных у ИП Гиниятуллиной Л.Ф.
4.1.4. Персональные данные клиентов используются с целью предоставления услуг Оператором.
5. Передача персональных данных.
5.1. Под передачей персональных данных понимается операция по предоставлению доступа к персональным данным третьим лицам.
5.2. При передаче Оператором персональных данных клиент должен дать на это согласие в письменной форме. Форма письменного согласия на передачу персональных данных утверждается локальными нормативными актами ИП Гиниятуллиной Л.Ф.
5.3. При передаче персональных данных третьим лицам Оператор должен соблюдать следующие требования:
- не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью клиента, а также в других случаях, предусмотренных Федеральным законодательством РФ;
- предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные клиента, обязаны соблюдать режим секретности (конфиденциальности);
- разрешать доступ к персональным данным субъекта только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций.
5.3.1. Согласие субъекта на передачу персональных данных не требуется, если законодательством РФ установлена обязанность предоставления персональных данных Оператором или лицом, ответственным за организацию защиты персональных данных.
5.4. В случае если лицо, обратившееся к ИП Гиниятуллиной Л.Ф. с запросом о предоставлении персональных данных, не уполномочено федеральным законом на получение информации, относящейся к персональным данным клиента, Оператор обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации, копия уведомления хранится у Оператора.
5.5. Субъект вправе обратиться с требованием прекратить передачу своих персональных данных, ранее разрешенных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений Федерального закона от 27.07.2006 № 152-ФЗ или обратиться с таким требованием в суд. Оператор или третье лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования клиента или в срок, указанный во вступившем в законную силу решении суда. Если такой срок в решении суда не указан, то Оператор или третье лицо обязано прекратить передачу персональных данных клиента в течение трех рабочих дней с момента вступления решения суда в законную силу.
5.6. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать категории персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».

6. Ответственность сотрудников за нарушения правил осуществления операций с персональными данными.
6.1. Должностные лица ИП Гиниятуллиной Л.Ф. при осуществлении операций с персональными данными несут административную, гражданско-правовую, уголовную ответственность за нарушения правил осуществления операций с персональными данными, установленных настоящим положением, а также нормами федерального, регионального и муниципального законодательства РФ.
Правовые последствия нарушений правил осуществления операций с персональными данными определяются исходя из локальных норм ИП Гиниятуллиной Л.Ф., а также положений нормативно-правовых актов, действующих на территории Российской Федерации.