УТВЕРЖДЕНО:

Приказом Генерального директора

ООО «Заказ онлайн»

от 01.01.2014 г.

ПОЛОЖЕНИЕ

о защите персональных данных Клиентов

в ООО «Заказ онлайн»

г. Москва, 2014

1. Терминыи определения

1.1. Персональные данные — любая информация, относящаяся к определенномуили определяемому на основании такой информации физическому лицу (субъектуперсональных данных), в том числе его фамилия, имя, отчество, год, месяц, датаи место рождения, адрес, адрес электронной почты, телефонный номер, семейное,социальное, имущественное положение, образование, профессия, доходы, другаяинформация.

1.2. Обработка персональных данных — действия (операции) сперсональными данными, включая сбор, систематизацию, накопление, хранение,уточнение (обновление, изменение), использование, распространение (в том числепередачу), обезличивание, блокирование.

1.3. Конфиденциальность персональных данных — обязательное длясоблюдения назначенного ответственного лица, получившего доступ к персональнымданным, требование не допускать их распространения без согласия субъекта илииного законного основания.

1.4. Распространение персональных данных — действия, направленные напередачу персональных данных определенному кругу лиц (передача персональныхданных) или на ознакомление с персональными данными неограниченного круга лиц,в том числе обнародование персональных данных в средствах массовой информации,размещение в информационно-телекоммуникационных сетях или предоставлениедоступа к персональным данным каким-либо иным способом.

1.5. Использование персональных данных — действия (операции) сперсональными данными, совершаемые в целях принятия решений или совершения иныхдействий, порождающих юридические последствия в отношении субъектовперсональных данных либо иным образом затрагивающих их права и свободы илиправа и свободы других лиц.

1.6. Блокирование персональных данных — временное прекращение сбора,систематизации, накопления, использования, распространения персональных данных,в том числе их передачи.

1.7. Уничтожение персональных данных — действия, в результате которыхневозможно восстановить содержаниеперсональных данных в информационной системе персональных данных или врезультате которых уничтожаются материальные носители персональных данных.

1.8. Обезличивание персональных данных — действия, в результате которыхневозможно без использования дополнительной информации определитьпринадлежность персональных данных конкретному субъекту.

1.9. Общедоступные персональные данные — персональные данные, доступнеограниченного круга лиц к которым предоставлен с согласия субъекта или накоторые в соответствии с федеральными законами не распространяется требованиесоблюдения конфиденциальности.

1.10. Информация — сведения (сообщения,данные) независимо от формы их представления.

1.11. Клиент (субъект персональных данных) -физическое лицо, потребитель услуг ООО «Заказ онлайн», далее «Организация».

1.12. Оператор - государственный орган,муниципальный орган, юридическое или физическое лицо,

самостоятельно илисовместно с другими лицами организующие и (или) осуществляющие обработкуперсональных данных, а также определяющие цели обработки персональных данных,состав персональных данных, подлежащих обработке, действия (операции),совершаемые с персональными данными. В рамках настоящего Положения Операторомпризнается Общество с ограниченной ответственностью «Заказ онлайн»;

2. Общиеположения.

2.1. Настоящее Положениеоб обработке персональных данных (далее — Положение) разработано в соответствиис Конституцией Российской Федерации, Гражданским кодексом Российской Федерации,Федеральным законом "Об информации, информационных технологиях и о защитеинформации", Федеральным законом 152-ФЗ "О персональных данных",иными федеральными законами.

2.2. Цель разработкиПоложения — определение порядка обработки и защиты персональных данных всех КлиентовОрганизации, данные которых подлежат обработке, на основании полномочийоператора; обеспечение защиты прав и свобод человека и гражданина при обработкеего персональных данных, в том числе защиты прав на неприкосновенность частнойжизни, личную и семейную тайну, а также установление ответственностидолжностных лиц, имеющих доступ к персональным данным, за невыполнениетребований норм, регулирующих обработку и защиту персональных данных.

2.3. Порядок ввода вдействие и изменения Положения.

2.3.1. НастоящееПоложение вступает в силу с момента его утверждения Генеральным директоромОрганизации и действует бессрочно, до замены его новым Положением.

2.3.2. Изменения вПоложение вносятся на основании Приказов Генерального директора Организации.

3. Состав персональных данных.

3.1. В составперсональных данных Клиентов в том числе входят:

3.1.1. Фамилия, имя,отчество.

3.1.2. Год рождения.

3.1.3. Месяц рождения.

3.1.4. Дата рождения.

3.1.5. Адрес электроннойпочты.

3.1.6. Номер телефона(домашний, сотовый).

3.2. В Организации могутсоздаваться (создаются, собираются) и хранятся следующие документы и сведения,в том числе в электронном виде, содержащие данные о Клиентах:

3.2.1. Анкета (профайл)Клиента.

3.2.2. Заявка нарегистрацию — физического лица.

3.2.3. Договор (публичнаяоферта).

3.2.4. Подтверждение оприсоединении к договору.

3.2.5. Копии документов,удостоверяющих личность, а также иных документов, предоставляемых Клиентом, исодержащих персональные данные.

3.2.6. Данные по оплатамзаказов (товаров/услуг), содержащие платежные и иные реквизиты Клиента.

3.2.7. Данные по адресамдоставки заказов (товаров/услуг).

3.2.8. Записи телефонныхпереговоров и электронная переписка.

4. Цель обработки персональных данных.

4.1. Цель обработкиперсональных данных - осуществление комплекса действий направленных надостижение цели, в том числе:

4.1.1. Оказаниеконсультационных, информационных и посреднических услуг.

4.1.2. Иные сделки, незапрещенные законодательством, а также комплекс действий с персональнымиданными, необходимых для исполнения вышеуказанных сделок.

4.1.3. В целях исполнения требованийзаконодательства РФ.

4.2. Условием прекращенияобработки персональных данных является ликвидация Организации, а такжесоответствующее требование Клиента.

5. Сбор, обработка и защита персональных данных.

5.1. Порядок получения (сбора) персональныхданных:

5.1.1. Все персональныеданные Клиента следует получать у него лично с его письменного согласия, кроме случаев, определенных в п. 5.1.4 и 5.1.6настоящего Положения и иных случаях, предусмотренных законами РФ.

5.1.2. Согласие Клиентана использование его персональных данных хранится в Организации в бумажноми/или электронном виде. 5.1.3. Согласие субъекта на обработку персональныхданных действует в течение всего срока действия договора, а также в течение 5лет с даты прекращения действия договорных отношений Клиента с Организацией. Поистечении указанного срока действие согласия считается продленным на каждыеследующие пять лет при отсутствии сведений о его отзыве Клиентом.

5.1.4. Если персональные данные Клиентавозможно получить только у третьей стороны, Клиент должен быть уведомлен обэтом заранее и от него должно быть получено письменное согласие. Третье лицо,предоставляющее персональные данные Клиента, должно обладать согласием субъектана передачу персональных данных Организации. Организация обязана получитьподтверждение от третьего лица, передающего персональные данные Клиента о том,что персональные данные передаются с его согласия.

Организация обязана привзаимодействии с третьими лицами заключить с ними соглашение оконфиденциальности информации, касающейся персональных данных Клиентов.

5.1.5. Организацияобязана сообщить Клиенту о целях, предполагаемых источниках и способахполучения персональных данных, а также о характере подлежащих получениюперсональных данных и последствиях отказа Клиента персональных данных датьписьменное согласие на их получение.

5.1.6. Обработка персональных данных Клиентовбез их согласия осуществляется в следующих случаях:

5.1.6.1. Персональные данные являютсяобщедоступными.

5.1.6.2. По требованию полномочныхгосударственных органов в случаях, предусмотренных федеральным законом РФ.

5.1.6.3. Обработкаперсональных данных осуществляется на основании федерального закона,устанавливающего ее цель, условия получения персональных данных и кругсубъектов, персональные данные которых подлежат обработке, а такжеопределяющего полномочия оператора.

5.1.6.4. Обработкаперсональных данных осуществляется в целях заключения и исполнения договора,одной из сторон которого является субъект персональных данных – Клиент.

5.1.6.5. Обработкаперсональных данных осуществляется для статистических целей при условииобязательного обезличивания персональных данных.

5.1.6.6. В иных случаях,предусмотренных законом.

5.1.7. Организация неимеет права получать и обрабатывать персональные данные Клиента о его расовой,национальной принадлежности, политических взглядах, религиозных или философскихубеждениях, состоянии здоровья, интимной жизни.

5.2. Порядок обработки персональных данных:

5.2.1. Субъектперсональных данных предоставляет Организации достоверные сведения о себе.

5.2.2. К обработкеперсональных данных Клиентов могут иметь доступ только сотрудники Организации,допущенные к работе с персональными данными Клиента и подписавшие Соглашение онеразглашении персональных данных Клиента.

5.2.3. Право доступа кперсональным данным Клиента в Организации имеют:

·        Генеральныйдиректор Организации;

·        Работники,ответственные за ведение операционной работы (Бухгалтерия, Финансовый отдел).

·        РаботникиОтдела по работе с Клиентами (CRM).

·        РаботникиОтдела поддержки Партнёров.

·        РаботникиОтдела маркетинга.

·        РаботникиСлужбы персонала.

·        Работникиюридической службы.

·        Работники IT (Отдел информационныхтехнологий).

·        Клиент, каксубъект персональных данных.

5.2.3.1. Поименныйперечень сотрудников Организации, имеющих доступ к персональным даннымКлиентов, определяется приказом Генерального директора Организации.

5.2.4. Обработка персональныхданных Клиента может осуществляться исключительно в целях установленныхПоложением и соблюдения законов и иных нормативных правовых актов РФ.

5.2.5. При определении объема и содержания,обрабатываемых персональных данных Организация руководствоваться КонституциейРоссийской Федерации, законом о персональных данных, и иными федеральнымизаконами.

5.3. Защита персональных данных:

5.3.1. Под защитой персональных данных Клиентапонимается комплекс мер (организационно-распорядительных, технических,юридических), направленных на предотвращение неправомерного или случайногодоступа к ним, уничтожения, изменения, блокирования, копирования,распространения персональных данных субъектов, а также от иных неправомерныхдействий.

5.3.2. Защита персональных данных Клиентаосуществляется за счёт Организации в порядке, установленном федеральным закономРФ.

5.3.3. Организация при защите персональныхданных Клиентов принимает все необходимые организационно-распорядительные,юридические и технические меры, в том числе:

·        Шифровальные(криптографические) средства.

·        Антивируснаязащита.

·        Анализзащищённости.

·        Обнаружение ипредотвращение вторжений.

·        Управлениядоступом.

·        Регистрация иучет.

·        Обеспечениецелостности.

·        Организациянормативно-методических локальных актов, регулирующих защиту персональныхданных.

5.3.4. Общую организациюзащиты персональных данных Клиентов осуществляет Генеральный директорОрганизации.

5.3.5. Доступ кперсональным данным Клиента имеют сотрудники Организации, которым персональныеданные необходимы в связи с исполнением ими трудовых обязанностей.

5.3.6. Все сотрудники,связанные с получением, обработкой и защитой персональных данных Клиентов, обязаныподписать Соглашение о неразглашении персональных данных Клиентов.

5.3.7. Процедураоформления доступа к персональным данным Клиента включает в себя:

·        Ознакомлениесотрудника под роспись с настоящим Положением. При наличии иных нормативныхактов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку изащиту персональных данных Клиента, с данными актами также производитсяознакомление под роспись.

·        Истребованиес сотрудника (за исключением Генерального директора) письменного обязательствао соблюдении конфиденциальности персональных данных Клиентов и соблюденииправил их обработки в соответствии с внутренними локальными актами Организации,регулирующих вопросы обеспечения безопасности конфиденциальной информации.

5.3.8. СотрудникОрганизации, имеющий доступ к персональным данным Клиентов в связи сисполнением трудовых обязанностей:

·        Обеспечиваетхранение информации, содержащей персональные данные Клиента, исключающее доступк ним третьих лиц.

·        В отсутствиесотрудника на его рабочем месте не должно быть документов, содержащих персональныеданные Клиентов.

·        При уходе вотпуск, во время служебной командировки и в иных случаях длительного отсутствиясотрудника на своем рабочем месте, он обязан передать документы и иныеносители, содержащие персональные данные Клиентов лицу, на которое локальнымактом Общества (приказом, распоряжением) будет возложено исполнение еготрудовых обязанностей.

·        В случае еслитакое лицо не назначено, то документы и иные носители, содержащие персональныеданные Клиентов, передаются другому сотруднику, имеющему доступ к персональнымданным Клиентов по указанию Генерального директора Организации.

·        Приувольнении сотрудника, имеющего доступ к персональным данным Клиентов,документы и иные носители, содержащие персональные данные Клиентов, передаютсядругому сотруднику, имеющему доступ к персональным данным Клиентов по указаниюГенерального директора.

·        В целяхвыполнения порученного задания и на основании служебной записки с положительной

·        резолюциейГенерального директора, доступ к персональным данным Клиента может бытьпредоставлен иному сотруднику. Допуск к персональным данным Клиента другихсотрудников Организации, не имеющих надлежащим образом оформленного доступа,запрещается.

5.3.9. Менеджер Службыперсонала обеспечивает:

·        Ознакомлениесотрудников под роспись с настоящим Положением.

·         Истребование с сотрудников письменногообязательства о соблюдении конфиденциальности персональных данных Клиента(Соглашение о неразглашении) и соблюдении правил их обработки.

·        Общийконтроль за соблюдением сотрудниками мерпо защите персональных данных Клиента.

5.3.10. Защитаперсональных данных Клиентов, хранящихся в электронных базах данныхОрганизации, от несанкционированного доступа, искажения и уничтоженияинформации, а также от иных неправомерных действий, обеспечивается Системнымадминистратором.

5.4. Хранение персональных данных:

5.4.1. Персональныеданные Клиентов на бумажных носителях хранятся в сейфах.

5.4.2. Персональныеданные Клиентов в электронном виде хранятся в локальной компьютерной сетиОрганизации, в электронных папках и файлах в персональных компьютерахГенерального директора и сотрудников, допущенных к обработке персональныхданных Клиентов.

5.4.3. Документы,содержащие персональные данные Клиентов, хранятся в запирающихся шкафах(сейфах), обеспечивающих защиту от несанкционированного доступа. В концерабочего дня все документы, содержащие персональные данные Клиентов, помещаютсяв шкафы (сейфы), обеспечивающие защиту от несанкционированного доступа.

5.4.4. Защита доступа кэлектронным базам данных, содержащим персональные данные Клиентов,обеспечивается:

·        Использованиемлицензированных антивирусных и антихакерских программ, не допускающих несанкционированныйвход в локальную сеть Организации.

·        Разграничениемправ доступа с использованием учетной записи.

·        Двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровнебаз данных. Пароли устанавливаются Системным администратором Организации исообщаются индивидуально сотрудникам, имеющим доступ к персональным даннымКлиентов.

5.4.4.1.Несанкционированный вход в ПК, в которых содержатся персональные данныеКлиентов, блокируется паролем, который устанавливается Системным администратороми не подлежит разглашению.

5.4.4.2. Все электронныепапки и файлы, содержащие персональные данные Клиентов, защищаются паролем,который устанавливается ответственным за ПК сотрудником Организации исообщается Системному администратору.

5.4.4.3. Изменениепаролей Системным администратором осуществляется не реже 1 раза в 3 месяца.

5.4.5. Копировать иделать выписки персональных данных Клиента разрешается исключительно вслужебных целях с письменного разрешения Генерального директора Организации.

5.4.6. Ответы написьменные запросы других организаций и учреждений о персональных данныхКлиентов даются только с письменного согласия самого Клиента, если иное неустановлено законодательством РФ.

Ответы оформляются вписьменном виде, на бланке Организации, и в том объеме, который позволяет неразглашать излишний объем персональных данных Клиента.

6. Блокировка, обезличивание, уничтожение персональных данных

6.1. Порядок блокировки иразблокировки персональных данных:

6.1.1. Блокировкаперсональных данных Клиентов осуществляется с письменного заявления Клиента.

6.1.2. Блокировкаперсональных данных подразумевает:

6.1.2.1. Запретредактирования персональных данных.

6.1.2.2. Запретраспространения персональных данных любыми средствами (e-mail, сотовая связь,

материальные носители).

6.1.2.3. Запретиспользования персональных данных в массовых рассылках (sms, e-mail, почта).

6.1.2.4. Изъятие бумажныхдокументов, относящихся к Клиенту и содержащих его персональные данные, извнутреннего документооборота Организации и запрет их использования.

6.1.3. Блокировкаперсональных данных Клиента может быть временно снята, если это требуется для

соблюдениязаконодательства РФ.

6.1.4. Разблокировкаперсональных данных Клиента осуществляется с его письменного согласия (приналичии необходимости получения согласия) или заявления Клиента.

6.1.5. Повторное согласие Клиента на обработкуего персональных данных (при необходимости его

получения) влечетразблокирование его персональных данных.

6.2.Порядок обезличивания и уничтожения персональных данных:

6.2.1. Обезличиваниеперсональных данных Клиента происходит по письменному заявлению Клиента, приусловии, что все договорные отношения завершены и от даты окончания последнегодоговора прошло не менее 5 лет.

6.2.2. При обезличиванииперсональные данные в информационных системах заменяются набором символов, покоторому невозможно определить принадлежность персональных данных к конкретномуКлиенту.

6.2.3. Бумажные носителидокументов при обезличивании персональных данных уничтожаются.

6.2.4. Организацияобязана обеспечить конфиденциальность в отношении персональных данных принеобходимости проведения испытаний информационных систем на территорииразработчика и произвести безличивание персональных данных в передаваемыхразработчику информационных системах.

6.2.5. Уничтожениеперсональных данных Клиента подразумевает прекращение какого-либо доступа кперсональным данным Клиента.

6.2.6. При уничтоженииперсональных данных Клиента работники Организации не могут получить доступ кперсональным данным субъекта в информационных системах.

6.2.7. Бумажные носителидокументов при уничтожении персональных данных уничтожаются, персональныеданные в информационных системах обезличиваются. Персональные данныевосстановлению не подлежат.

6.2.8. Операцияуничтожения персональных данных необратима.

6.2.9. Срок, послекоторого возможна операция уничтожения персональных данных Клиента,определяется окончанием срока, указанным в пункте 7.3 настоящего Положения.

7. Передача и хранение персональных данных

7.1. Передача персональных данных:

7.1.1. Под передачейперсональных данных субъекта понимается распространение информации по каналамсвязи и на материальных носителях.

7.1.2. При передаче персональных данныхработники Организации должны соблюдать следующие

требования:

7.1.2.1. Не сообщатьперсональные данные Клиента в коммерческих целях.

7.1.2.2. Не сообщатьперсональные данные Клиента третьей стороне без письменного согласия Клиента,за исключением случаев, установленныхфедеральным законом РФ.

7.1.2.3. Предупредитьлиц, получающих персональные данные Клиента о том, что эти данные могут бытьиспользованы лишь в целях, для которых они сообщены, и требовать от этих лицподтверждения того, что это правило соблюдено;

7.1.2.4. Разрешать доступк персональным данным Клиентов только специально уполномоченным лицам, при этомуказанные лица должны иметь право получать только те персональные данныеКлиентов, которые необходимы для выполнения конкретных функций.

7.1.2.5. Осуществлятьпередачу персональных данных Клиента в пределах Организации в соответствии снастоящим Положением, нормативно-технологической документацией и должностнымиинструкциями.

7.1.2.6. Предоставлятьдоступ Клиента к своим персональным данным при обращении либо при получениизапроса Клиента. Организация обязана сообщить Клиенту информацию о наличииперсональных данных о нем, а также предоставить возможность ознакомления с нимив течение десяти рабочих дней с момента обращения.

7.1.2.7. Передаватьперсональные данные Клиента представителям Клиента в порядке, установленномзаконодательством и нормативно-технологической документацией и ограничивать этуинформацию только теми персональными данными субъекта, которые необходимы длявыполнения указанными представителями их функции.

7.1.2.8. Обеспечиватьведение журнала учета выданных персональных данных Клиентов, в которомфиксируются сведения о лице, которому передавались персональные данныеКлиентов, дата передачи персональных данных или дата уведомления об отказе впредоставлении персональных данных, а также отмечается, какая именно информациябыла передана .

7.2. Хранение и использование персональных данных:

7.2.1. Под хранениемперсональных данных понимается существование записей в информационных системахи на материальных носителях.

7.2.2. Персональные данные Клиентовобрабатываются и хранятся в информационных системах, а также на бумажныхносителях в Организации. Персональные данные Клиентов также хранятся вэлектронном виде: в локальной компьютерной сети Организации, в электронныхпапках и файлах в ПК Генерального директора и работников, допущенных кобработке персональных данных Клиентов.

7.2.3. Хранениеперсональных данных Клиента может осуществляться не дольше, чем этого требуютцели обработки, если иное не предусмотрено федеральными законами РФ.

7.3. Сроки хранения персональных данных:

7.3.1. Сроки хранениягражданско-правовых договоров, содержащих персональные данные Клиентов, а такжесопутствующих их заключению, исполнению документов - 5 лет с момента окончаниядействия договоров.

7.3.2. В течение срока хранения персональныеданные не могут быть обезличены или уничтожены.

7.3.3. По истечении срока храненияперсональные данные могут быть обезличены в информационных системах иуничтожены на бумажном носителе в порядке, установленном в Положении идействующем законодательстве РФ.

8. Права оператора персональных данных

Организация вправе:

8.1. Отстаивать своиинтересы в суде.

8.2. Предоставлятьперсональные данные Клиентов третьим лицам, если это предусмотрено действующимзаконодательством (налоговые, правоохранительные органы и др.) или соглашениемс Клиентом.

8.3. Отказать впредоставлении персональных данных в случаях, предусмотренных законодательствомРФ.

8.4. Использоватьперсональные данные Клиента без его согласия, в случаях предусмотренныхзаконодательством РФ.

9. Права Клиента

Клиент имеет право:

9.1. Требовать уточнениясвоих персональных данных, их блокирования или уничтожения в случае, еслиперсональные данные являются неполными, устаревшими, недостоверными, незаконнополученными или не являются необходимыми для заявленной цели обработки, а такжепринимать предусмотренные законом меры по защите своих прав;

9.2. Требовать переченьобрабатываемых персональных данных, имеющихся в Организации и источник их получения.

9.3. Получать информациюо сроках обработки персональных данных, в том числе о сроках их хранения.

9.4. Требовать извещениявсех лиц, которым ранее были сообщены неверные или неполные его персональныеданные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

9.5. Обжаловать вуполномоченный орган по защите прав субъектов персональных данных или всудебном порядке неправомерные действия или бездействия при обработке егоперсональных данных.

10. Ответственность за нарушение норм,регулирующих обработку и защиту персональных данных

10.1. РаботникиОрганизации, виновные в нарушении норм, регулирующих получение, обработку изащиту персональных данных несут ответственность в соответствии с действующемзаконодательством Российской Федерации и внутренними локальными актамиОрганизации.