I. Общие положения

1.1. Настоящее Положение по обработке персональных данных (далее - Положение) клиентов ИП Коршаковой Я.Ф., в том числе потенциальных, и иных субъектов персональных данных ИП Коршакова Я.Ф. (далее - клиентов)  разработано в соответствии с Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных».

1.2. Цель разработки Положения - определение порядка обработки персональных данных клиентов ИП Коршаковой Я.Ф., , в том числе потенциальных (далее - клиентов), и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.3. Порядок ввода в действие и изменения Положения.

1.3.1. Настоящее Положение вступает в силу с момента его утверждения ИП Коршаковой Я.Ф. и действует бессрочно, до замены его новым Положением.

1.3.2. Все изменения в Положение вносятся приказом.

1.4. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 50 лет срока их хранения, или продлевается на основании заключения экспертной комиссии, если иное не определено законом.

II. Основные понятия и состав персональных данных клиентов

2.1. Для целей настоящего Положения используются следующие основные понятия^[1]:

- клиент — лицо, являющееся контрагентом ИП Коршаковой Я.Ф. по договору;

- договор — соглашение между ИП Коршаковой Я.Ф. и клиентом, служащее основанием для возникновения прав и обязанностей, в связи с которыми необходима обработка персональных данных Клиента ИП Коршаковой Я.Ф.;

- потенциальный клиент – лицо, имеющее намерение получить информацию об услугах ИП Коршаковой Я.Ф. и оставившее свои персональные данные на сайте ИП Коршаковой Я.Ф.;

- персональные данные клиентов - любая информация, относящаяся к определенному или определяемому на основании такой информации клиенту, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая ИП Коршаковой Я.Ф.;

- обработка персональных данных - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных клиентов ИП Коршаковой Я.Ф.;

- конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным клиентов, требование не допускать их распространения без согласия клиентов или иного законного основания;

- распространение персональных данных - действия, направленные на передачу персональных данных клиентов определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных клиентов в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным клиентов каким-либо иным способом;

- использование персональных данных - действия (операции) с персональными данными, совершаемые должностным лицом ИП Коршаковой Я.Ф. в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении клиентов либо иным образом затрагивающих их права и свободы или права и свободы других лиц;

- блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных клиентов, в том числе их передачи;

- уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных клиентов или в результате которых уничтожаются материальные носители персональных данных клиентов;

- обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному клиенту;

- общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия клиента или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

- информация - сведения (сообщения, данные) независимо от формы их представления^[2].

- документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

2.2. В состав персональных данных клиентов входят документы, содержащие информацию о паспортных данных, семейном положении, месте жительства, дате рождения; состоянии здоровья, номерах телефонов, адресах электронной почты, фотографии.

2.3. В ИП Коршакова Я.Ф. создаются и хранятся данные о клиентах в виде документов, содержащих персональные данные клиентов (комплексы документов, сопровождающие процесс оформления договорных отношений; комплекс материалов по анкетированию, тестированию, обратной связи с официального сайта или email рассылок).

III. Сбор, обработка и защита персональных данных

3.1. Порядок получения персональных данных.

3.1.1. Все персональные данные клиента следует получать у него самого. Если персональные данные клиента возможно получить только у третьей стороны, то клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. ИП Коршакова Я.Ф. и ее сотрудники должны сообщить клиенту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа клиента дать письменное согласие на их получение.

3.1.2. ИП Коршакова Я.Ф. и ее сотрудники не имеют права получать и обрабатывать персональные данные клиентов о их расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами договорных отношений, в соответствии со ст. 24 Конституции Российской Федерации ИП Коршакова Я.Ф. и ее сотрудники вправе получать и обрабатывать данные о частной жизни клиента только с его письменного согласия.

Обработка указанных персональных данных клиентов возможна только с их согласия либо без их согласия в следующих случаях:

- персональные данные являются общедоступными;

- персональные данные относятся к состоянию здоровья клиентов и их обработка необходима для защиты их жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия клиентов невозможно;

- по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.

3.1.3. ИП Коршакова Я.Ф. и ее сотрудники вправе обрабатывать персональные данные клиентов только с их письменного согласия.

3.1.4. Письменное согласие клиентов на обработку своих персональных данных должно включать в себя:

- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

- цель обработки персональных данных;

- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

- срок, в течение которого действует согласие, а также порядок его отзыва.

3.1.5. Согласие клиентов не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании Закона РФ от 07.02.1992 N 2300-1 "О защите прав потребителей" или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;

2) обработка персональных данных осуществляется в целях исполнения договора;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов клиента, если получение его согласия невозможно.

3.2. Порядок обработки, передачи и хранения персональных данных.

3.2.1. Клиент предоставляет ИП Коршаковой Я.Ф. достоверные сведения о себе. ИП Коршакова Я.Ф. проверяет достоверность сведений.

3.2.2. В целях обеспечения прав и свобод человека и гражданина ИП Коршакова Я.Ф. и ее представители при обработке персональных данных клиентов должны соблюдать следующие общие требования:

3.2.2.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия клиентам в получении услуг, обеспечения личной безопасности клиентов, контроля объема и качества оказываемых им услуг и обеспечения сохранности имущества.

3.2.2.2. При определении объема и содержания, обрабатываемых персональных данных клиентов ИП Коршакова Я.Ф. и ее сотрудники должны руководствоваться Конституцией Российской Федерации, Законом РФ от 07.02.1992 N 2300-1 "О защите прав потребителей" и иными федеральными законами.

3.2.2.3. При принятии решений, затрагивающих интересы клиентов, ИП Коршакова Я.Ф.не имеет права основываться на персональных данных клиентов, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.2.2.4. Защита персональных данных клиентов от неправомерного их использования или утраты обеспечивается ИП Коршаковой Я.Ф. и ее сотрудниками за счет их средств в порядке, установленном федеральным законом.

3.2.2.5. Клиенты и их представители считаются ознакомленными с документами ИП Коршаковой Я.Ф., устанавливающими порядок обработки персональных данных клиентов, а также об их правах и обязанностях в этой области при условии размещения их на официальном сайте ИП Коршаковой Я.Ф.

3.2.2.6. Во всех случаях отказ клиентов от своих прав на сохранение и защиту тайны недействителен.

IV. Передача и хранение персональных данных

4.1. При передаче персональных данных клиентов ИП Коршакова Я.Ф. и ее сотрудники должны соблюдать следующие требования:

4.1.1. Не сообщать персональные данные клиентов третьей стороне без их письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью клиентов, а также в случаях, установленных федеральным законом.

4.1.2. Не сообщать персональные данные клиентов в коммерческих целях без их письменного согласия. Обработка персональных данных клиентов в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с их предварительного согласия.

4.1.3. Предупредить лиц, получивших персональные данные клиентов, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные клиентов, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными клиентов в порядке, установленном федеральными законами.

4.1.4. Осуществлять передачу персональных данных клиентов в соответствии с настоящим Положением.

4.1.5. Разрешать доступ к персональным данным клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.

4.1.6. Не запрашивать информацию о состоянии здоровья клиента, за исключением тех сведений, которые относятся к вопросу о возможности оказания ему услуги.

4.1.7. Передавать персональные данные клиентов представителям клиентов и должностным лицам органов государственного контроля в порядке, установленном федеральными законами, и ограничивать эту информацию только теми персональными данными клиентов, которые необходимы для выполнения указанными лицами их функции.

4.2. В случае если из предоставленного субъектом персональных данных согласия на распространение персональных данных не следует, что он согласился с распространением персональных данных, такие персональные данные обрабатываются ИП Коршакова Я.Ф. и ее сотрудниками без права распространения.

4.3. В случае если из предоставленного клиентами  согласия на передачу персональных данных не следует, что они не установили запреты и условия на обработку персональных данных или не указали категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, ИП Коршакова Я.Ф. и ее сотрудники обрабатывают такие персональные данные без возможности передачи (распространения, предоставления, доступа) неограниченному кругу лиц.

4.4. Согласие на распространение персональных данных может быть предоставлено ИП Коршаковой Я.Ф. и ее сотрудникам:

·        непосредственно;

·        с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

4.5. В согласии на распространение персональных данных субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных ИП Коршаковой Я.Ф. неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ ИП Коршаковой Я.Ф. и ее сотрудниками в установлении клиентами запретов и условий не допускается.

4.6. ИП Коршакова Я.Ф. обязано в срок не позднее 3 (трех) рабочих дней с момента получения согласия субъекта персональных данных на распространение персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных субъекта для распространения.

4.7. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по его требованию. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта, а также перечень персональных данных, обработка которых подлежит прекращению.

4.8. Действие согласия клиентов на распространение персональных данных прекращается с момента поступления требования, указанного в пункте 4.7 настоящего Положения.

4.9. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений Федерального закона от 27.07.2006 № 152-ФЗ или обратиться с таким требованием в суд. ИП Коршакова Я.Ф. или третье лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение 3 (трех) рабочих дней с момента получения требования или в срок, указанный во вступившем в законную силу решении суда. Если такой срок в решении суда не указан, то ИП Коршакова Я.Ф. или третье лицо обязаны прекратить передачу персональных данных в течение 3 (трех) рабочих дней с момента вступления решения суда в законную силу.

4.10. Хранение и использование персональных данных клиентов ^[14]:

4.10.1. Персональные данные клиентов обрабатываются и хранятся ИП Коршаковой Я.Ф. и ее сотрудниками.

4.10.2. Персональные данные клиентов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде в CRM системе «Fitbase».

4.10.3. При получении персональных данных не от клиента (за исключением случаев, если персональные данные были предоставлены на основании федерального закона или если персональные данные являются общедоступными) ИП Коршакова Я.Ф. и ее сотрудники до начала обработки таких персональных данных обязаны предоставить клиенту следующую информацию:

- наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

- цель обработки персональных данных и ее правовое основание;

- предполагаемые пользователи персональных данных;

- установленные настоящим Федеральным законом права субъекта персональных данных.

 ИП Коршакова Я.Ф. и ее сотрудники обеспечивают защиту персональных данных субъектов персональных данных от неправомерного использования или утраты.

Персональные данные клиентов хранятся в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные субъектов персональных данных, обеспечивается двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Изменение паролей производится ИП Коршаковой Я.Ф. не реже одного раза в два месяца.

4.10.4. Копировать и делать выписки из персональных данных субъектов персональных данных разрешается исключительно в служебных целях с письменного разрешения ИП Коршаковой Я.Ф.

4.10.5. В течение срока хранения персональные данные не могут быть обезличены или уничтожены.

По истечении срока хранения персональные данные должны быть обезличены в информационных системах и уничтожены на бумажном носителе в порядке, установленном в Положении и действующем законодательстве РФ.

4.10.6. Персональные данные Клиентов обрабатываются в течение всего срока действия соответствующего Договора, а также хранятся не менее 5 лет после его прекращения, с соблюдением всех установленных данным Положением и действующим законодательством требований. После истечения указанного срока ИП Коршакова Я.Ф. и ее сотрудники вправе принять решение об уничтожении персональных данных клиента.

Персональные данные Потенциальных клиентов обрабатываются и хранятся не менее 5 лет с момента их предоставления. После истечения указанного срока ИП Коршакова Я.Ф. и ее сотрудники вправе принять решение об уничтожении персональных данных Потенциального клиента.

V. Доступ к персональным данным клиентов

5.1. Право доступа к персональным данным клиентов имеют:

- ИП Коршакова Я.Ф.;

- сотрудники ИП Коршаковой Я.Ф. по направлению деятельности.

5.2. Клиент имеет право:

5.2.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные клиентов.

5.2.2. Требовать от ИП Коршаковой Я.Ф. уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для ИП Коршаковой Я.Ф. персональных данных.

5.2.3. Получать от ИП Коршаковой Я.Ф.:

- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

- перечень обрабатываемых персональных данных и источник их получения;

- сроки обработки персональных данных, в том числе сроки их хранения;

- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

5.2.3.Требовать извещения ИП Коршаковой Я.Ф. всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия ИП Коршаковой Я.Ф. при обработке и защите его персональных данных.

5.3. Передача информации третьей стороне возможна только при письменном согласии клиентов.

VI. Лица, ответственные за обработку персональных данных

6.1. Приказом ИП Коршаковой Я.Ф. назначается лицо, ответственное за организацию обработки персональных данных (далее - ответственное лицо), а также утверждается перечень лиц, имеющих доступ к персональным данным в пределах, необходимых для выполнения своих трудовых обязанностей.

6.2. Ответственное лицо:

          контролирует соблюдение мер по защите персональных данных;

          оформляет с лицами, имеющими право доступа к персональным данным, письменное обязательство о неразглашении персональных данных;

          принимает необходимые меры по хранению, обновлению и изменению персональных данных;

          принимает необходимые меры по уничтожению либо обезличиванию персональных данных клиентов после достижения целей обработки или в случае неактуальности, если иное не предусмотрено законодательством РФ.

6.3. Лица, получившие доступ к персональным данным клиентов, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на передачу персональных данных клиентов в порядке, установленном законодательством РФ.

6.4. Все лица, получающие доступ к персональным данным, подписывают обязательство о неразглашении персональных данных.

VII. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

7.1. Работники ИП Коршаковой Я.Ф., виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных клиентов, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

7.2. ИП Коршакова Я.Ф. за нарушение норм, регулирующих получение, обработку и защиту персональных данных клиентов, несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает клиентам ущерб, причиненный неправомерным использованием информации, содержащей персональные данные клиентов.

[1]Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»: глава 1, ст. 3.

[2]Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», ст. 2.