Положение персональные данные клиентов

Сегодня мы раскроем тему: "Положение персональные данные клиентов", полностью описав проблематику и сделав выводы. Каждый вопрос индивидуален. Поэтому есть вероятность, что вы не найдете ответ. Поэтому с любым вопросом можно обратиться к дежурному специалисту.

Защита персональных данных клиентов организации

Защита персональных данных
с помощью DLP-системы

Б ольшинство российских компаний, работающих в секторе оказания услуг физическим лицам, тем или иным способом собирают и обрабатывают их персональные данные. Такая функция становится основанием для признания их операторами персональных данных в установленном законом порядке и необходимости принять комплекс организационных и технических мер, призванных защитить доверенную организациям информацию клиентов.

Нормативно-правовая база

Федеральный закон «О персональных данных» признает операторами всех юридических лиц и предпринимателей, которые получают и обрабатывают персональные данные клиентов в ситуациях, не являющихся обычным кадровым документооборотом. К предприятиям, постоянно сталкивающимся в своей работе с требованиями получать и обрабатывать данные в установленном законом порядке, а также предпринимать меры, направленные на их защиту, относятся:

  • медицинские учреждения, требования к которым, определяющие степень защищенности информационной системы, повышены из-за важности доверяемых им данных;
  • образовательные организации;
  • банки и другие финансовые учреждения;
  • страховые компании;
  • гостиницы;
  • библиотеки;
  • магазины.

Каждый из этих субъектов бизнеса получает от граждан сведения, которые носят конфиденциальный характер, и это не только имя, данные паспорта и номер телефона, но и информация о семейном положении, здоровье, имуществе, счетах и вкладах. Организации, в деятельности которых эти сведения необходимы по различным причинам, часто нормативно-правового порядка (например, форматы различных учетных карточек устанавливаются министерствами и ведомствами), вместе со сведениями получают комплекс обязанностей по их защите при обработке и передаче третьим лицам.

Закон требует от операторов предпринять комплекс организационных и технических мер, направленных на защиту доверенной им информации. Конкретизируются эти требования Постановлением Правительства № 1119, определяющим параметры, по которым устанавливается уровень защищенности системы, и приказами ФСТЭК России, которые регулируют применение и сертификацию технических средств, защищающих целостность информационной системы персональных данных. Также в области сертификации средств криптографической защиты данных и некоторых программных продуктов действуют стандарты, разрабатываемые и утверждаемые ФСБ России.

Обязанности оператора

Оператором является практически каждая организация, в рамках своей деятельности получающая от клиентов сведения о данных их паспорта или о номере телефона. Закон устанавливает обязанности оператора персональных данных как на организационном, так и на техническом уровне. После того, как компания определила, что требования закона безусловно относят ее к операторам, она обязана:

  • направить уведомление в Роскомнадзор о начале деятельности, связанной с обработкой персональных данных. Его форма заполняется на сайте, затем распечатывается, подписывается и отправляется в ведомство по почте;
  • разработать локальные нормативные акты, определяющие принципы и порядок обработки персональных данных клиентов в процессе осуществления ими предпринимательской деятельности;
  • разработать формат согласия на обработку персональных данных, которое подписывают клиенты, и определить порядок его предоставления для подписания;
  • назначить приказом руководителя лицо, ответственное за обеспечение надлежащей защиты персональных данных;
  • определить требуемую степень защищенности своей информационной системы согласно нормам Постановления Правительства № 1119;
  • разработать план приведения информационной базы в соответствие с требованиями законодательства и реализовать его.

Выполнение этих обязанностей контролируется в ходе проверок Роскомнадзора. Следует учитывать, что по закону о защите прав юридических лиц в процессе проверок первая из плановых может пройти только спустя три года после направления уведомления.

Положение о защите персональных данных

Одной из задач оператора становится разработка внутреннего положения, определяющего принципы его работы при взаимодействии с персональными данными клиентов. Обычно оно размещается на сайте оператора таким образом, чтобы было доступно любому клиенту при поиске информации или предоставлении сведений, содержащих персональные данные. Подготовить такой нормативный акт можно самостоятельно, силами административного подразделения компании или службы безопасности, никаких специальных норм он не содержит, и требований к его формату и содержанию законодательство не предъявляет. В рекомендуемой версии структура положения будет выглядеть следующим образом:

Согласие на обработку персональных данных

Существенным элементом системы защиты персональных данных становится разработка формата согласия на обработку персональных данных и установление порядка его подписания. Чаще всего сведения получают от клиента в процессе оформления договора, но следует учитывать, что они сохраняются не только в информационных базах, но и на материальных носителях, которыми, в зависимости от вида услуг, могут быть:

  • листки учета посетителей, заполненные в гостиницах;
  • формуляры, оформляемые в библиотеках;
  • медицинские карты;
  • анкеты различного рода.

Все эти документы часто хранятся в общем доступе, степень их защищенности нельзя отнести к повышенной. Распространение на них режима конфиденциальности защищается включением соответствующих норм в трудовые договоры с персоналом, но, как показывает практика, взыскать ущерб с сотрудника, виновного в разглашении конфиденциальной информации, крайне сложно. Единственной защитой персональных данных, хранящихся на бумажных носителях, становится трудность обработки большого объема рукописных данных, это значит, что их неправомерное распространение возможно только в случае заинтересованности злоумышленника в сведениях о конкретном клиенте. Но, подписывая согласие на обработку данных, клиент должен быть уверен в том, что они будут охраняться максимально возможным и соответствующим требованиям законодательства способом.

Также в согласии указываются цели обработки персональных данных, например, для гостиницы это будет соблюдение требований безопасности клиентов и сохранности имущества. Подписывая согласие, клиент должен признать целесообразность этих целей. После того, как определены цели, указываются способы обработки персональных данных, ручные и автоматические. Клиент должен выразить свое согласие и с ними.

В согласии указываются лица, которым, по договору с оператором, данные могут передаваться для хранения и обработки. Как показывает последняя судебная практика, применительно к банкам, эти лица необходимо скрупулезно и подробно перечислить.

Как гласит закон, согласие на обработку персональных данных в любое время может быть отозвано, делается это по тем каналам связи, которые оператор установил для коммуникации с клиентом. После отзыва компания обязана в течение 30 дней уничтожить данные. Этого можно избежать только в том случае, когда их нахождение у организации-оператора обусловливается требованиями федеральных законов, например, по борьбе с терроризмом или об отмывании денежных средств. Ранее срок удаления составлял 7 дней, но он был настолько неудобен для операторов, что было принято решение о его продлении. Также клиент вправе требовать удаления или изменения данных, если они не соответствуют действительности, искажены. При получении отказа или в случае неисполнения требований гражданин может обратиться с заявлением в Роскомнадзор.

Читайте так же:  Срок исковой давности по пеням на алименты

Риски, с которыми связана обработка персональных данных клиентов

Операторы должны учитывать, что нарушение установленного порядка обработки и защиты персональных данных влечет за собой возникновение неблагоприятных последствий. Такие нарушения могут быть выявлены тремя способами:

  • при проведении проверочных мероприятий органами контроля за соблюдением законодательства о защите персональных данных – Роскомнадзором, ФСТЭК РФ, ФСБ России;
  • в результате взаимодействия оператора с некоторыми другими ведомствами, например, ФАС РФ;
  • физическим лицом, чьи права нарушены. Такое нарушение может стать основой для предъявления иска в суд о восстановлении нарушенного права и компенсации морального вреда.

Следствиями выявления нарушения государственным органом становятся:

  • вынесение предписания об устранении нарушений закона;
  • административные штрафы, налагаемые на руководителей компаний;
  • запрет на занятие деятельностью, связанной с обработкой персональных данных;
  • в наиболее вопиющих случаях неправомерного использования или распространения данных – привлечение к уголовной ответственности.

Лицо, информация о частной жизни которого была неправомерно получена или распространена, может обратиться в суд со следующими категориями исков:

  • иск о возмещении морального вреда, связанного с неправомерным использованием персональных данных;
  • иск о запрете собирать персональные данные, если организация не обладает необходимыми сертифицированными ресурсами для обеспечения их безопасности (этот способ защиты прав часто применяется во взаимоотношениях с магазинами);
  • иск об удалении или изменении некорректно учтенных данных.

Российские суды удовлетворяют требования о взыскании морального вреда чаще всего в пределах небольших сумм, в среднем 50 тысяч для столицы и крупных городов, 10 тысяч по России. Но риск заключается не в том, чтобы потерять небольшие средства, а в вынесении проблемы в публичное поле. После вступления в силу решения суда или сообщения СМИ о процессе Роскомнадзор может назначить внеочередную проверку соблюдения законодательства о защите персональных данных, и по ее результатам организации может быть запрещено заниматься их обработкой. Это станет причиной существенно больших убытков для оператора.

Организации, работающие с физическими лицами, должны учитывать все требования и риски и выстраивать свою работу таким образом, чтобы нарушения установленного порядка защиты персональных данных не происходило.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/perechen-personalnyh-dannyh-podlezhashchih-zashchite/zaschita-personalnykh-dannykh-klientov-organizatsii/

Положение о персональных данных

о персональных данных клиентов ООО «ВЕТЦ»

  1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным (далее ПД) клиентов ООО «ВЕТЦ» (далее Общества). Под клиентами подразумеваются лица, которым Общество оказывает услуги.

1.2. Цель настоящего Положения — защита ПД клиентов Общества от несанкционированного доступа и разглашения. ПД всегда являются конфиденциальной, строго охраняемой информацией.

1.3. Основанием для разработки настоящего Положения являются Конституция РФ, Федеральный Закон «О персональных данных», с изменениями, вступившими в силу, другие действующие нормативно-правовые акты РФ.

1.4. Настоящее Положение и изменения к нему утверждаются директором Общества и вводятся приказом по предприятию.

  1. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Под ПД клиентов понимается информация необходимая Обществу и его сотрудникам для оказания должных услуг.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Состав персональных данных клиентов:

— адрес места жительства

2.2. Данный состав данных является конфиденциальными. Режим конфиденциальности ПД снимается в случаях обезличивания, в отношении общедоступных персональных данных или по истечении установленного федеральным законом сроков хранения документов, относящихся к персональным данным клиента.

2.3. В целях информационного обеспечения могут создаваться источники ПД (справочники).

2.4. Сведения о клиенте могут быть в любое время исключены из источников ПД по требованию клиента либо по решению суда или иных уполномоченных государственных органов.

  1. ОБЯЗАННОСТИ ОБЩЕСТВА

3.1. В целях обеспечения прав и свобод человека и гражданина Общество и его представители при обработке ПД клиента обязаны соблюдать следующие общие требования:

3.2. Обработка ПД клиента может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, а так же для формирования персональных скидочных предложений.

3.3. При определении объема и содержания, обрабатываемых ПД клиента Общество и его представители должны руководствоваться Конституцией РФ, Федеральным законом «О персональных данных» и иными федеральными законами.

3.4. Все ПД клиента Общество получает в добровольном порядке, от воли клиента и его интересах, который даёт согласие на обработку, в том числе на сбор, систематизацию, накопление, хранение (уточнение, обновление, изменение), использование, передачу третьим лицам, обезличивание, блокирование и уничтожение его ПД – фамилии, имени, отчества, даты рождения, адреса, номера контактного телефона, адреса электронной почты Обществу с целью предоставления ему товаров и услуг.

3.5. Общество не имеет права получать и обрабатывать ПД клиента о его политических, религиозных и иных убеждениях и частной жизни.

3.6. Защита ПД клиента от неправомерного их использования или утраты должна быть обеспечена Обществом за счет его средств в порядке, установленном федеральным законом.

3.7. Работники Общества и их представители должны быть ознакомлены под роспись с документами предприятия, устанавливающими порядок обработки ПД клиентов, а также об их правах и обязанностях в этой области.

3.8. Работники не должны отказываться от своих прав на сохранение и защиту тайны.

  1. ПРАВА КЛИЕНТА
Читайте так же:  Заявление об уменьшении госпошлины в суд

4.1. Клиент, ПД которого обрабатываются Обществом и его представителями, имеет право:

— требовать от Общества уточнения своих ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

— отозвать свое согласие на обработку ПД в любой момент;

— требовать устранения неправомерных действий Общества в отношении его ПД;

— обжаловать действия или бездействие Компании в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если субъект ПД считает, что Компания осуществляет обработку его ПД с нарушением требований Закона или иным образом нарушает его права и свободы;

— на защиту своих прав и законных интересов.

4.2. Общество и его представители в процессе обработки ПД обязано:

— предоставлять клиенту по его запросу информацию, касающуюся обработки его ПД, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса от клиента или его представителя;

— разъяснить клиенту юридические последствия отказа предоставить ПД, если предоставление данных является обязательным в соответствии с федеральным законом;

— до начала обработки ПД (если данные получены не от клиента) предоставить клиенту следующую информацию, за исключением случаев, предусмотренных частью 4 статьи 18 Закона:

1) наименование, либо фамилия, имя, отчество и адрес Общества или его представителя;

2) цель обработки ПД и ее правовое основание;

3) предполагаемые пользователи ПД;

4) установленные Законом права клиента;

5) источник получения ПД.

— принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;

— опубликовать в сети интернет на сайтах univet-clinic.ruи обеспечить неограниченный доступ с использованием сети интернет к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите данных;

— осуществить блокирование неправомерно обрабатываемых ПД, относящихся к клиенту, или обеспечить их блокирование (если обработка ПД осуществляется другим лицом, действующим по поручению Общества) с момента обращения или получения запроса на период проверки, в случае выявления неправомерной обработки ПД при обращении клиента.

— уточнить ПД, либо обеспечить их уточнение (если обработка данных осуществляется другим лицом, действующим по поручению Общества) в течение 7 рабочих дней со дня представления

— сведений и снять блокирование ПД, в случае подтверждения факта неточности данных на основании сведений, представленных клиентом или его представителем;

— прекратить неправомерную обработку ПД или обеспечить прекращение неправомерной обработки ПД лицом, действующим по поручению Общества, в случае выявления неправомерной обработки ПД, осуществляемой Обществом или лицом, действующим на основании договора с Обществом, в срок, не превышающий 3 рабочих дней, с даты этого выявления;

— прекратить обработку ПД клиента или обеспечить ее прекращение (если обработка ПД осуществляется другим лицом, действующим по договору с Обществом) и уничтожить ПД или обеспечить их уничтожение (если обработка ПД осуществляется другим лицом, действующим по договору с Обществом) по достижению цели обработки ПД, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является клиент, в случае достижения цели обработки ПД;

— прекратить обработку ПД клиента или обеспечить ее прекращение и уничтожить ПД или обеспечить их уничтожение в случае отзыва клиентом согласия на обработку ПД, если Общество не вправе осуществлять обработку данных без согласия клиента;

  1. СБОР, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка ПД клиента — это получение, хранение, комбинирование, передача или любое другое использование ПД.

5.2. Все ПД клиента следует получать у него самого. Если ПД клиента возможно получить только у третьей стороны, то клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

5.3. Все ПД клиента Общество получает в добровольном порядке, от воли клиента и его интересах. Клиент даёт согласие на обработку, в том числе на сбор, систематизацию, накопление, хранение (уточнение, обновление, изменение), использование, передачу третьим лицам, обезличивание, блокирование и уничтожение его персональных данных – фамилии, имени, отчества, даты рождения, адреса, номера контактного телефона, адреса электронной почты Обществу с целью предоставления ему товаров и услуг, включая, но не ограничиваясь: идентификацией участника в программе лояльности, осуществление доставки, распространения информационных и рекламных сообщений (по SMS, электронной почте, телефону, иным средствам связи), получения обратной связи.

  1. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. При передаче ПД клиентов Общество должно соблюдать следующие требования:

6.1.1. не передавать ПД клиентов третьей стороне без письменного согласия клиентов, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральным законом;

6.1.2. не передавать ПД клиентов третьим лицам в коммерческих целях, без его письменного согласия;

6.1.3. предупреждать третьих лиц, получающих ПД клиентов, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПД клиентов, обязаны соблюдать конфиденциальность.

6.1.4. разрешать доступ к ПД клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПД, которые необходимы для выполнения конкретных функций;

  1. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

7.1. Внутренний доступ (доступ внутри предприятия).

Доступ к ПД клиентов имеют:

— иные сотрудники Общества, утвержденные приказом;

— сами клиенты, носители данных.

Видео (кликните для воспроизведения).
Читайте так же:  Кассационная жалоба в третий кассационный суд

7.2. Внешний доступ.

ПД вне организации могут представляться в государственные и негосударственные функциональные структуры в соответствии с законодательством:

  1. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. В целях обеспечения сохранности и конфиденциальности ПД клиентов Общества все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только уполномоченными работниками, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.

8.2. Передача информации, содержащая сведения о ПД клиентов Общества без письменного согласия клиентов запрещается, за исключением случаев предусмотренных действующим законодательством РФ

8.3. Информация, относящаяся к ПД клиентов хранится в электронном виде, в базе данных Общества. Доступ к электронной базе данных клиентов, обеспечивается двухфакторной системой авторизации: на уровне доменной учетной записи и на уровне баз данных. Доступ в помещения, где установлено серверное и сетевое оборудование, ограничен и определяется должностными инструкциями работников.

8.3. Персональные компьютеры, в которых содержатся ПД, защищены паролями доступа.

8.4. Ответственность по обеспечению технической защиты базы ПД лежит на генеральном директоре общества.

8.6. Ответственность по контролю мер информационной безопасности лежит на генеральном директоре общества.

  1. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ,СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

9.1. Лица, имеющие доступ к ПД, подписывают Обязательство о неразглашении ПД клиентов.

9.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПД, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

Источник: http://univet-clinic.ru/personal-data/

Защита персональных данных в гостинице

Защита персональных данных
с помощью DLP-системы

Д алеко не все владельцы и руководители отелей и гостиниц в полной мере знакомы со всеми требованиями, которые возлагает на них законодательство о защите персональных данных. Нарушая требования закона и Роскомнадзора, они оказываются в ситуации, несущей потенциальные риски для бизнеса. Знание всех нюансов обработки и использования персональных данных, обучение этим правилам персонала поможет избежать любых видов ответственности и правильно отрегулировать отношения с клиентами.

Какие персональные данные клиента нужны отелю

Условия обработки и использования персональных данных клиентов организаций в России регулируются Федеральным законом «О персональных данных». Ответственность за их нарушение устанавливается КоАП РФ, и с 2017 года она серьезно ужесточилась. Стандартно, заполняя анкету при заселении, гражданин оставляет данные паспорта и текущего местожительства. Они необходимы для того, чтобы проконтролировать сохранность имущества гостиницы, их запрос регламентируется правилами оказания гостиничных услуг в целях общественной безопасности. Иногда отель по собственной инициативе просит предоставить и другую информацию, например, номер мобильного телефона, на который впоследствии отправляет рекламные рассылки.

Все эти сведения являются персональными данными. Точного их перечня в законе нет, под этим термином подразумеваются любые сведения, имеющие отношение к конкретному лицу и позволяющие его достоверно идентифицировать. Факт сбора персональных данных делает отель их оператором, и его руководитель или индивидуальный предприниматель, оказывающий эти услуги, обязан подать уведомление в Роскомнадзор о том, что он занимается деятельностью по их обработке. Как правило, за несвоевременное уведомление, если оно состоялось, операторов не наказывают, в том числе и в административном порядке. Кроме уведомления, требуется позаботиться о разработке пакета внутренней документации по защите информационных баз, в которых хранятся данные клиентов.

Деятельность по защите персональных данных

Персонал отеля больше занят выполнением своих служебных обязанностей, чем соблюдением законодательства об обеспечении защиты персональных данных. Избежать рисков привлечения к административной ответственности поможет составление инструкции для руководства и персонала, описывающей основные действия, которые они обязаны совершать, взаимодействуя с клиентами и получая у них персональные данные для обработки. Нельзя забывать о том, что административные штрафы налагаются на руководителя даже в том случае, если нарушение допущено сотрудником.

Обязательное получение согласия на обработку персональных данных

Формат документа должен быть предварительно разработан с опорой на рекомендации Роскомнадзора. Если сведения собираются на сайте гостиницы, необходимо вместе с формой их предоставления разместить фразу «Даю согласие на обработку персональных данных» с окошком, в котором клиент может отметить свое согласие. Рядом должна находиться ссылка, ведущая на страницу, на которой выложена внутренняя политика о порядке обработки персональных данных.

При заполнении бумажных анкет непосредственно в отеле клиенту нужно предложить заполнить бумажную форму согласия, которая может быть отсканирована и учтена в его анкете. При подписании документа клиент должен точно понимать, для чего собираются его данные, какими способами они будут обрабатываться, кому они будут передаваться и с какими целями. Нарушение этого требования может привести к административной ответственности. Максимальный штраф составит 75 тысяч рублей, которые должна будет заплатить гостиница.

Ознакомление клиента с политикой гостиницы по обработке персональных данных

Прежде всего, этот документ нужно разработать и утвердить. Он не очень сложен, стандарты легко найти в Сети. Главное при его подготовке – подробно описать права и обязанности клиента, связанные с предоставлением и обработкой персональных данных. Если документ выложен на сайте и физическое лицо предоставляет сведения онлайн, задача гостиницы считается выполненной.

В ситуации, когда клиент заполняет формы в гостинице, распечатанный экземпляр политики должен предоставляться ему по запросу. Желательно также предлагать ему прочитать его, так как именно там он найдет ответы на свои вопросы.

Данные должны использоваться только в соответствии с целями их обработки

Каждая гостиница – оператор персональных данных – должна уведомить клиента о цели сбора сведений и используемых способах их обработки. Эта информация должна содержаться в политике обработки персональных данных, она заявляется Роскомнадзору при направлении ему уведомлений. Но могут возникнуть ситуации, когда неинформированные сотрудники нарушают установленный порядок и используют доверенные им сведения не по назначению.

В гостиничном бизнесе могут возникнуть три типичных случая использования данных неустановленным способом:

  • запрос излишней информации, например, данных паспорта, при бронировании номера;
  • направление СМС-уведомлений на телефон или электронную почту клиента без получения его предварительного согласия;
  • передача персональных данных клиентов третьим лицам.
Читайте так же:  Инициирование судебного разбирательства

Такая активность персонала приведет и к штрафам, налагаемым в административном порядке, и к негативной реакции ФАС на незаконную рекламу, и к претензиям и судебным искам со стороны недовольных клиентов.

Права клиента на получение информации о порядке использования его персональных данных должны быть соблюдены

В политике гостиницы должны быть оговорены права клиента получать информацию о судьбе своих персональных данных и на другие действия с ними, и персонал должен знать об их наличии. К ним относятся права клиента:

  • знать, какие именно данные о нем хранятся в отеле;
  • узнать, как и при помощи каких технических средств они защищаются;
  • потребовать изменить или удалить избыточную или некорректную информацию;
  • отозвать согласие на обработку.

По заявлению клиентов персональные данные должны быть заблокированы или уничтожены, несмотря на то, что эти действия могут не соответствовать бизнес-процессам и принятым в гостинице стандартам обработки информации. Так, требование об исключении телефонного номера клиента из баз, используемых для СМС-рассылок, должно быть выполнено незамедлительно. Нарушение этого требования не только приведет к привлечению к административной ответственности и наложению штрафа в сумме 45 тысяч рублей, но и может стать основанием для возбуждения ФАС РФ дела о недобросовестной рекламе.

Отказ удовлетворить требование клиента приведет также к жалобе в Роскомнадзор, штрафам и судебным искам. Поэтому от сотрудников отеля требуется оперативность в реакции на запросы клиентов. Решением может стать внесение обязанностей по сопровождению обработки персональных данных и по общению с клиентами по этим вопросам в должностные инструкции.

Какие технические требования необходимо соблюдать администрации отеля

Технические требования к хранению информации также должны соблюдаться максимально точно. Если информационная система, в которой находятся персональные данные, подключена к сети Интернет, должны быть установлены антивирусные средства защиты. При передаче сведений по телекоммуникационным каналам третьим лицам они должны шифроваться. Сами компьютеры должны быть физически защищены, допуск к ним должен быть ограничен, поручен только лицам, уполномоченным на это отдельным приказом руководства. Если есть возможность, нужно установить DLP-систему, которая полностью блокирует возможность передать сведения третьим лицам, которые могут интересоваться и базой данных состоятельных клиентов, и их телефонными номерами. Система защиты персональных данных должна быть комплексной и учитывать все возможные риски.

Руководство гостиницы должно помнить, что клиент может оказаться более информированным в вопросе защиты персональных данных, чем сотрудники отеля. И это знание при выявлении ошибки персонала может быть использовано и для причинения ущерба деловой репутации гостиницы, и для подачи исков о возмещении морального вреда. Единственным решением станет обучение персонала всем аспектам работы с персональными данными.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/perechen-personalnyh-dannyh-podlezhashchih-zashchite/zaschita-personalnykh-dannykh-v-gostinitse/

Положение о персональных данных клиентов

Защита персональных данных
с помощью DLP-системы

ПОЛОЖЕНИЕ

о персональных данных клиентов Компании

(образец)

1. Основные положения

1.1. Под персональными данными (ПДн) следует понимать какую-либо информацию, имеющую прямое отношение к установленному или определяемому с помощью этой информации лицу, включающую ФИО, данные о рождении, семейном положении, социальном статусе, имущественном состоянии, полученном образовательном уровне, профессии, получаемых заработках и прочие сведения.

1.2. Обработка ПДн – это операции с такой информацией по сбору, систематизации, накоплению, хранению, уточнению, внесению изменений, применению, передаче, обезличиванию, удалению, блокированию.

1.3. Конфиденциальность – строгое соблюдение работником, владеющим доступом к ПДн, требований не распространять их без получения разрешения субъекта этой информации или его законных представителей.

1.4. Распространение ПДн – операции по передаче этой информации определенным лицам, предоставлению сведений для ознакомления большому числу лиц (обнародование в средствах массовой информации, на телевидении, другим способом).

1.5. Применение ПДн – операции, выполняемые с использованием этой информации для принятия конкретных решений или с иной целью, в результате чего возникают последствия юридического характера, касающиеся носителей ПДн или иным способом касающиеся прав, свобод граждан.

1.6. Блокирование ПДн – временная приостановка сбора, выполнения любых действий с личной информацией клиентов, включая ее передачу.

1.7. Уничтожение ПДн – операции, после выполнения которых нельзя восстановить эти сведения в информсистеме персональной информации или в результате их выполнения происходит уничтожение физических носителей ПДн.

1.8. Обезличивание ПДн – операции, после выполнения которых необходимо использовать дополнительную информацию для установления принадлежности личных сведений конкретному гражданину.

1.9. Общедоступные ПДн – сведения личного характера, которые доступны неограниченному количеству людей, и для ознакомления с этой информацией получено разрешение их владельца, или получение такого согласия не требуется на основании норм федерального законодательства.

1.10. Клиент – физлицо, являющееся субъектом ПДн, потребитель услуг компании.

1.11. Оператор – госорган, орган муниципального значения, ЮЛ, ФЛ, занимающиеся самостоятельной или совместной обработкой личных сведений клиентов, устанавливающие цели, для которых они обрабатываются, действия, совершаемые с ПДн. Компания считается Оператором в соответствии с этим документом.

2. Общая информация

2.1. Положение создано с учетом требований Конституции РФ, ГК РФ, федерального законодательства.

2.2. Целями обрабатывания ПДн являются:

установление процедуры обработки личных сведений каждого Клиента Компании, чьи данные необходимо обрабатывать;

защита прав, свобод человека во время выполнения операций с его ПДн, определение ответственности работников Компании, владеющих доступом к ПДн, в случае невыполнения ими законодательства по обработке и защите ПДн.

2.3. Введение в действие этого документа

2.3.1. Нормы этого Положения начинают действовать с даты его утверждения Директором компании на бессрочный период. Все изменения, вносимые в этот документ, утверждаются приказом Владельца Компании.

3. Персональные данные

3.1. ПДн состоят из:

  • ФИО Клиента;
  • полной даты рождения;
  • электронной почты;
  • телефонного номера.
Читайте так же:  Отозвать заявление о восстановлении срока образец

3.2. Компания наделена правом создания, сбора, хранения таких данных, также и на электронных носителях, в которых содержатся сведения о Клиенте, касающиеся:

  • анкетной информации о Клиенте;
  • регистрационной заявки от физлица;
  • договора;
  • документов Клиента, подтверждающих его личность (в копиях), прочей документации, предоставляемой Клиентом, в которых указаны его ПДн;
  • сведений об уплате предоставленных товаров, услуг с реквизитами, принадлежащими Клиенту;
  • адресной информации для доставки заказа в соответствии с договором;
  • переписки в электронном виде, записи ведения переговоров по телефону.

4. Цели по обработке ПДн

4.1. Цель выполнения всех действий с ПДн – реализация определенных задач, включая:

  • консультацию, информационную поддержку, предоставление услуг посредничества;
  • прочие сделки, выполняемые в законном порядке, комплексные операции с ПДн, которые необходимо выполнять для реализации указанных в договоре сделок;
  • выполнение законодательных требований.

4.2. Прекращение процедуры обработки ПДн должно состояться в случае ликвидации Компании или по заявлению Клиента.

5. Сбор, процессы обработки, защиты ПДн

5.1. Любые операции с ПДн Клиента нужно выполнять при наличии его письменного разрешения, кроме законодательно оговоренных случаев.

5.2. Клиент предоставляет свое согласие на использование личных сведений для хранения в Компании на бумажном носителе или в электронном виде.

5.3. Разрешение Клиента на использование его ПДн должно действовать на протяжении всего срока договорных отношений. После окончания этого срока они уничтожаются, если иное не оговорено в договоре.

5.4. Если ПДн Клиента можно получить исключительно через третью сторону, Компания заранее уведомляет его об этом. Клиент должен предоставить свое письменное разрешение. Третьи лица должны иметь согласие Клиента на передачу его ПДн Компании.

5.5. Компания сообщает Клиенту о преследуемых целях, возможных источниках получения его ПДн, характере сведений и последствиях отказа Клиента предоставить свое письменное согласие на их предоставление.

5.6. ПДн Клиента обрабатываются без получения его согласия в следующих случаях:

  • если они являются общедоступными;
  • если это предусмотрено федеральными законами;
  • для подписания, выполнения договорных обязательств между Клиентом и Компанией;
  • для формирования статистики, если соблюдается условие обезличивания ПДН;
  • в прочих случаях, предусмотренных законодательством.

5.7. Компания не обрабатывает сведения о Клиенте, касающиеся его расовой принадлежности, сексуальной ориентации, политических взглядов, религии, философских убеждений, здоровья.

5.8. Обработка ПДн начинается с получения достоверных ПДн Клиента. Доступ к этим сведениям имеют только работники Компании, которым предоставлено такое право после подписания Соглашения о неразглашении ПДн Клиента.

5.9. Доступ к ПДн Клиента в Компании имеют:

  • Директор Компании;
  • сотрудники, выполняющие бухгалтерские операции;
  • сотрудники отдела по работе с Клиентами;
  • сотрудники подразделения поддержки Партнеров;
  • сотрудники маркетингового отдела;
  • служба персонала;
  • юридический отдел;
  • сотрудники информационного подразделения (IT);
  • Клиент – субъект ПДн.

5.10. Обеспечение защиты ПДн осуществляется Компанией за ее счет в соответствии с требованием законодательства.

5.11. Компания во время защиты ПДн Клиента выполняет все меры технического, организационного, распорядительного, юридического характера, включая:

  • шифрование с помощью криптографических средств;
  • использование антивирусных программ;
  • проведение анализа защищенности;
  • выявление фактов вторжения, профилактические меры для предупреждения таких случаев;
  • управление доступом;
  • действия по регистрации и учету;
  • обеспечение целостности сведений;
  • издание нормативных актов локального характера по регулированию защиты ПДн.

5.12. Общая защита ПДн Клиентов возложена на Директора Компании.

5.13. Доступ к ПДн Клиента могут получать только работники Компании, использующие эти сведения для выполнения трудовых обязанностей.

5.14. Сотрудники Компании, использующие личные сведения Клиентов, подписывают Соглашение о неразглашении их ПДн.

6. Блокировка, обезличивание, уничтожение персональных данных

6.1. ПДн Клиента блокируются, разблокируются на основании письменного заявления Клиента.

6.2. Обезличивание, уничтожение выполняются по заявлению Клиента, предоставленному в письменном виде, в случае полного предоставления услуг в пределах договора. Уничтожение ПДн является необратимой операцией и возможно по истечении 1 года после выполнения договорных обязательств.

7. Передача и хранение персональных данных

7.1. Передача и хранение ПДн Клиента осуществляются с соблюдением требований:

  • запрет на сообщение ПДн Клиента в коммерческих целях;
  • запрет на передачу ПДн при отсутствии письменно выданного Клиентом согласия, кроме разрешенных законом случаев;
  • предупреждение получателей ПДн Клиента о неразглашении ими этих сведений и использовании для целей их получения. Компания должна требовать от получателей подтверждения соблюдения данного правила;
  • доступ к ПДн должен предоставляться только лицам, уполномоченным на получение, и исключительно для реализации конкретных функций.

8. Права Оператора ПДн

8.1. Оператор имеет право:

  • на отстаивание в суде своих интересов;
  • на передачу данных Клиента третьей стороне в установленных законом случаях или с его согласия;
  • на отказ в предоставлении ПДн в предусмотренных законом случаях;
  • на применение ПДн Клиента без получения его разрешения в предусмотренных законом случаях.

9. Права Клиента

9.1. Клиенту предоставляются следующие права:

  • требовать уточнить его личные сведения, заблокировать, уничтожить, если ПДн не являются полными, достоверными, полученными законным путем, не нужны для заявленных целей их обработки;
  • получать список ПДн, обрабатываемых Компанией, перечень источников, через которые Компания эти данные получает;
  • иметь доступ к сведениям о сроках обработки ПДн, включая срок их хранения;
  • требовать уведомить всех лиц, получивших неполные, недостоверные ПДн Клиента, о внесенных в них изменениях, дополнениях, уточнениях;
  • обжаловать в уполномоченном органе, защищающем права Клиента, в суде действия Компании, которые Клиент считает неправомерными, а также бездействия Компании, связанные с обработкой его ПДн.

10. Ответственность

10.1. За нарушение норм, которые регулируют вопросы обработки, защиты персональных данных Клиента, несут ответственность работники Компании, признанные виновными в нарушениях в этой сфере по действующему законодательству РФ и по требованиям локальных документов Компании.

Видео (кликните для воспроизведения).

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/polozhenie-o-personalnyh-dannyh/polozhenie-o-personalnykh-dannykh-klientov/

Положение персональные данные клиентов
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here