Положение о защите и обработке персональных данных субъектов персональных данных
1. Общие положения
1.1. Положение о защите и обработки персональных данных субъектов персональных данных (далее — Положение) определяет порядок обработки и защиты персональных данных субъектов персональных данных (далее — субъектов ПДн) Индивидуального предпринимателя Затолокиной Елены Валентиновны (далее — Оператор).
1.2. Положение разработано в соответствии с следующими нормативно-правовыми актами:
1.4. Действие настоящего Положения распространяется на все процессы по сбору, систематизации, накоплению, хранению, уточнению, использованию, распространению (в том числе передачу), обезличиванию, блокированию, уничтожению персональных данных, осуществляемых с использованием средств автоматизации и без их использования.
1.5. Настоящее Положение обязательно для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных субъектов ПДн.
1.6. Настоящее Положение распространяется на следующие категории субъектов ПДн:
2. Правовые основания и цели обработки персональных данных
2.1. Цель обработки персональных данных субъектов ПДн:
3. Перечень персональных данных
3.1. Категории сведений, являющихся персональными данными субъектов ПДн, обрабатываемых Оператором и подлежащих защите, содержатся в перечне персональных данных, утвержденном приказом Оператора.
3.1.1. Состав персональных данных работников, близких родственников работников, уволенных работников, кандидатов на вакантную должность:
Обработка ПДн осуществляется с момента их получения Оператором и прекращается:
Срок обработки ПДн близких родственников работников — в течение срока действия трудового договора работника и 75 лет после его окончания, если не установлен иной срок хранения в соответствии с действующим законодательством.
Срок обработки ПДн уволенных работников -75 лет после окончания действия трудового договора, если не установлен иной срок хранения в соответствии с действующим законодательством.
Срок обработки ПДн кандидатов на вакантную должность -1 год, если не установлен иной срок хранения в соответствии с действующим законодательством.
Срок обработки ПДн контрагентов — в течение срока оказания услуг, предусмотренных договором между Оператором и контрагентом, и 3 года после его окончания, если не установлен иной срок хранения в соответствии с действующим законодательством.
Срок обработки ПДн клиентов -3 года, если не установлен иной срок хранения в соответствии с действующим законодательством
Оператор. осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.
1.1. Положение о защите и обработки персональных данных субъектов персональных данных (далее — Положение) определяет порядок обработки и защиты персональных данных субъектов персональных данных (далее — субъектов ПДн) Индивидуального предпринимателя Затолокиной Елены Валентиновны (далее — Оператор).
1.2. Положение разработано в соответствии с следующими нормативно-правовыми актами:
- Трудовой Кодекс Российской Федерации.
- Гражданский Кодекс Российской Федерации.
- Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
- Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687.
- Постановление Правительства Р Ф «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 № 1119.
- Приказ ФСТЭК России «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.02.2013 № 21.
1.4. Действие настоящего Положения распространяется на все процессы по сбору, систематизации, накоплению, хранению, уточнению, использованию, распространению (в том числе передачу), обезличиванию, блокированию, уничтожению персональных данных, осуществляемых с использованием средств автоматизации и без их использования.
1.5. Настоящее Положение обязательно для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных субъектов ПДн.
1.6. Настоящее Положение распространяется на следующие категории субъектов ПДн:
- Работники.
- Близкие родственники работников.
- Уволенные работники.
- Кандидаты на вакантную должность.
- Клиенты.
- Контрагенты.
2. Правовые основания и цели обработки персональных данных
2.1. Цель обработки персональных данных субъектов ПДн:
- работников — обеспечение соблюдения законов или иных правовых актов, содействие работникам в трудоустройстве, обучение и профессиональное продвижение, контроль количества и качества выполняемой работы;
- близких родственников работников — обеспечение соблюдения законов или иных правовых актов;
- уволенных работников — обеспечение соблюдения законов или иных правовых актов;
- кандидатов на вакантную должность — содействие в трудоустройстве;
- контрагентов — оказание услуг, предусмотренных договором между Оператором и контрагентом;
- клиентов — оказание гостиничных услуг.
- Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;
- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;
- Федеральный закон от 18.07.2006 № 109-ФЗ «О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации»;
- Федеральный закон от 25.07.2002 № 115-ФЗ «О правовом положении иностранных граждан в Российской Федерации»;
- Закон РФ от 25.06.1993 № 5242−1 «О праве граждан Российской Федерации на свободу передвижения, выбор места пребывания и жительства в пределах Российской Федерации»;
- Постановление Госкомстата Российской Федерации «Об утверждении унифицированных форм первичной учетной документации по учету труда и оплаты» № 1 от 05.01.2004 г.;
- Постановление Правительства Р Ф от 18.11.2020 № 1853 «Об утверждении Правил предоставления гостиничных услуг в Российской Федерации»;
- Постановление Правительства Р Ф от 15.01.2007 № 9 «О порядке осуществления миграционного учета иностранных граждан и лиц без гражданства в Российской Федерации»;
- Приказ Министерства внутренних дел Российской Федерации от 09.07.2018 года № 435 «Об утверждении Порядка представления администрациями гостиниц, санаториев, домов отдыха, пансионатов, кемпингов, туристских баз, медицинских организаций или других подобных учреждений, учреждений уголовно-исполнительной системы, исполняющих наказания в виде лишения свободы или принудительных работ, информации о регистрации и снятии граждан Российской Федерации с регистрационного учета по месту пребывания в территориальные органы МВД России и Типовой формы соглашения об информационном взаимодействии»;
- Приказ МВД России от 31.12.2017 № 984 «Об утверждении Административного регламента Министерства внутренних дел Российской Федерации по предоставлению государственной услуги по регистрационному учету граждан Российской Федерации по месту пребывания и по месту жительства в пределах Российской Федерации»;
- Устав Оператора;
- Договор между Оператором и субъектом ПДн;
- Согласие субъекта ПДн на обработку его персональных данных.
- обработка ПДн осуществляется на законной основе;
- обработка ПДн ограничивается достижением конкретных, заранее определенных целей;
- не допускается обработка ПДн, несовместимая с целями сбора ПДн;
- не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только ПДн, которые отвечают целям их обработки;
- содержание и объем обрабатываемых ПДн соответствует заявленным целям обработки;
- при обработке ПДн обеспечиваются их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн.
3. Перечень персональных данных
3.1. Категории сведений, являющихся персональными данными субъектов ПДн, обрабатываемых Оператором и подлежащих защите, содержатся в перечне персональных данных, утвержденном приказом Оператора.
3.1.1. Состав персональных данных работников, близких родственников работников, уволенных работников, кандидатов на вакантную должность:
- фамилия, имя, отчество;
- дата рождения и место рождения;
- паспортные данные (серия, номер, когда и кем выдан, код подразделения);
- адрес постоянной регистрации и проживания;
- гражданство;
- пол;
- номер контактного телефона;
- семейное положение;
- состав семьи: степень родства, фамилия, имя, отчество, дата рождения близких родственников;
- сведения из свидетельства о постановке на налоговый учет (ИНН);
- сведения из свидетельства о государственном пенсионном страховании (страховой номер);
- сведения о воинском учёте;
- сведения об образовании, о повышении квалификации, профессиональной переподготовке;
- профессия (специальность);
- сведения о начислениях по заработной плате;
- должность;
- данные о трудовом стаже, включая предыдущие места работы;
- данные о налоговых вычетах;
- номер банковского лицевого счета, наименование банка;
- сведения о состоянии здоровья;
- сведения из резюме, анкеты, характеристики и иных документов (для кандидатов на вакантную должность).
- фамилия, имя, отчество;
- дата рождения и место рождения;
- пол;
- гражданство;
- паспортные данные или данные иного удостоверяющего личность документа (серия, номер, дата выдачи, срок действия, код подразделения);
- адрес постоянной регистрации и проживания;
- контактный телефон;
- адрес электронной почты;
- фамилия, имя, отчество законного представителя клиента;
- гражданство законного представителя клиента;
- паспортные данные законного представителя клиента (серия, номер, дата выдачи, выдавший орган, срок действия);
- дата рождения и место рождения законного представителя клиента;
- пол законного представителя клиента;
- миграционная карта (серия, номер) (для иностранных граждан);
- виза (серия, номер, дата выдачи, срок действия, цель въезда) (для иностранных граждан);
- иные документы, подтверждающие законность нахождения в Российской Федерации иностранного гражданина (для иностранных граждан).
- фамилия, имя, отчество;
- паспортные данные (серия, номер, когда и кем выдан);
- адрес постоянной регистрации и проживания;
- сведения из свидетельства о постановке на налоговый учет (ИНН);
- сведения из свидетельства о государственном пенсионном страховании (страховой номер);
- номер банковского лицевого счета, наименование банка;
- номер контактного телефона;
- адрес электронной почты.
Обработка ПДн осуществляется с момента их получения Оператором и прекращается:
- по достижению целей обработки ПДн;
- в связи с отсутствием необходимости в достижении заранее заявленных целей обработки ПДн;
- в связи с отзывом согласия на обработку ПДн;
- в связи с ликвидацией Оператора как юридического лица.
Срок обработки ПДн близких родственников работников — в течение срока действия трудового договора работника и 75 лет после его окончания, если не установлен иной срок хранения в соответствии с действующим законодательством.
Срок обработки ПДн уволенных работников -75 лет после окончания действия трудового договора, если не установлен иной срок хранения в соответствии с действующим законодательством.
Срок обработки ПДн кандидатов на вакантную должность -1 год, если не установлен иной срок хранения в соответствии с действующим законодательством.
Срок обработки ПДн контрагентов — в течение срока оказания услуг, предусмотренных договором между Оператором и контрагентом, и 3 года после его окончания, если не установлен иной срок хранения в соответствии с действующим законодательством.
Срок обработки ПДн клиентов -3 года, если не установлен иной срок хранения в соответствии с действующим законодательством
Оператор. осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.
4. Конфиденциальность персональных данных
4.1. Оператор и иные лица, получившие доступ к персональным данным субъектов ПДн, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта ПДн, если иное не предусмотрено федеральным законодательством.
5. Технология обработки персональных данных
5.1. Хранение персональных данных субъектов ПДн осуществляется в виде документов на бумажных носителях и в электронном виде (базы данных) на электронных носителях информации.
5.2. Хранение персональных данных субъектов ПДн на бумажных носителях в целях их защиты от несанкционированного доступа осуществляется согласно Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденному постановлением Правительства Российской Федерации 15 сентября 2008 г. № 687.
5.3. Обработка персональных данных субъектов ПДн, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных субъектов ПДн можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
5.4. Персональные данные субъектов ПДн в электронном виде хранятся в информационных базах данных на машинных носителях информации на сервере в серверном помещении.
5.5. При фиксации персональных данных субъектов ПДн на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. При обработке различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
5.6. Материальные носители, содержащие персональные данные субъектов ПДн, должны храниться в сейфах, запираемых шкафах (ящиках) или запираемых помещениях.
5.7. За сохранность материальных носителей отвечает ответственные за хранение материальных носителей, утвержденные приказом Оператора.
5.8. Обработка персональных данных субъектов ПДн осуществляется работниками, имеющими доступ к персональным данным субъектов ПДн, на специально отведенных АРМ. Пользователь при работе с персональными данными субъектов ПДн на АРМ должен соблюдать требования Регламента по обеспечению информационной безопасности персональных данных в информационных системах персональных данных, утвержденного Оператором.
5.9. Запрещается выносить документы, содержащие персональные данные субъектов ПДн, для работы с ними на дому, в гостинице и т. д. В необходимых случаях руководитель Оператора может в письменной форме разрешить исполнителям или другим работникам вынос из здания документов, содержащих персональные данные субъектов ПДн, для их согласования, подписи и т. п. в организации, находящиеся за пределами контролируемой зоны.
5.10. Командируемым работникам под их личную ответственность с письменного разрешения руководителя Оператора разрешается иметь при себе в пути следования документы, содержащие персональные данные субъектов ПДн.
5.11. О фактах утраты документов, содержащих персональные данные субъектов ПДн, дел и других материалов либо разглашения содержащихся в них сведений немедленно ставится в известность руководитель Оператора. По факту утраты проводится служебное расследование и составляется акт, который предоставляется руководителю Оператора. Расследование проводится согласно Регламенту по обеспечению информационной безопасности персональных данных в информационных системах персональных данных, утвержденному Оператором.
5.12. Черновики, документы, потерявшие актуальность, и испорченные экземпляры документов, содержащих персональные данные субъектов ПДн, не выбрасываются. По мере накопления таких материалов, работники, из числа имеющих доступ к персональным данным субъектов ПДн, уничтожают все накопившиеся черновые материалы способом, гарантирующим невозможность восстановления информации с уничтоженных документов. Уничтожение производится в соответствии с Инструкцией о порядке уничтожения персональных данных, утвержденной Оператором, и оформляется актом.
5.13. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъектов ПДн распространяются как на бумажные, так и на электронные носители информации.
6. Получение и передача персональных данных третьим лицам
6.1. Оператор в ходе своей деятельности имеет право получать от третьих лиц и передавать третьим лицам обрабатываемые персональные данные в интересах и с согласия субъектов ПДн, а также без согласия субъекта ПДн — в случаях, предусмотренных федеральным законодательством.
Типовая форма согласия работника на получение его персональных данных у третьей стороны приведена в Приложении № 1а.
Типовая форма согласия субъекта ПДн на передачу его персональных данных третьей стороне приведена в Приложении № 1б.
7. Обязанности Оператора при сборе персональных данных субъектов ПДн
7.1. Правовым основанием для начала обработки персональных данных работников и близких родственников работников является трудовой договор между Оператором и работником и/или согласие работника на обработку его персональных данных. Типовая форма согласия работника на обработку его персональных данных приведена в Приложении № 2.
7.2. Правовым основанием для начала обработки персональных данных клиентов является согласие клиента на обработку его персональных данных.
7.3. Правовым основанием для начала обработки персональных данных контрагентов является договор об оказании услуг.
7.4. Факт передачи материальных носителей, содержащих персональные данные субъектов ПДн, между Оператором и другими организациями оформляется Актом приёма-передачи (Приложение № 3).
8. Права субъектов ПДн
8.1.Субъекты ПДн имеют право:
8.3. При обращении субъекта ПДн или его законного представителя по вопросам предоставления информации о персональных данных, относящихся к соответствующему субъекту, Оператор обязан сообщить данному субъекту информацию о наличии персональных данных, предоставить возможность ознакомления с ней.
8.4. Обращения субъектов ПДн фиксируются в Журнале учета обращений субъектов персональных данных по вопросам обработки персональных данных.
8.5. Порядок работы с обращениями субъектов ПДн определен в Правилах рассмотрения запросов субъектов персональных данных, утвержденных Оператором.
4.1. Оператор и иные лица, получившие доступ к персональным данным субъектов ПДн, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта ПДн, если иное не предусмотрено федеральным законодательством.
5. Технология обработки персональных данных
5.1. Хранение персональных данных субъектов ПДн осуществляется в виде документов на бумажных носителях и в электронном виде (базы данных) на электронных носителях информации.
5.2. Хранение персональных данных субъектов ПДн на бумажных носителях в целях их защиты от несанкционированного доступа осуществляется согласно Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденному постановлением Правительства Российской Федерации 15 сентября 2008 г. № 687.
5.3. Обработка персональных данных субъектов ПДн, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных субъектов ПДн можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
5.4. Персональные данные субъектов ПДн в электронном виде хранятся в информационных базах данных на машинных носителях информации на сервере в серверном помещении.
5.5. При фиксации персональных данных субъектов ПДн на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. При обработке различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
5.6. Материальные носители, содержащие персональные данные субъектов ПДн, должны храниться в сейфах, запираемых шкафах (ящиках) или запираемых помещениях.
5.7. За сохранность материальных носителей отвечает ответственные за хранение материальных носителей, утвержденные приказом Оператора.
5.8. Обработка персональных данных субъектов ПДн осуществляется работниками, имеющими доступ к персональным данным субъектов ПДн, на специально отведенных АРМ. Пользователь при работе с персональными данными субъектов ПДн на АРМ должен соблюдать требования Регламента по обеспечению информационной безопасности персональных данных в информационных системах персональных данных, утвержденного Оператором.
5.9. Запрещается выносить документы, содержащие персональные данные субъектов ПДн, для работы с ними на дому, в гостинице и т. д. В необходимых случаях руководитель Оператора может в письменной форме разрешить исполнителям или другим работникам вынос из здания документов, содержащих персональные данные субъектов ПДн, для их согласования, подписи и т. п. в организации, находящиеся за пределами контролируемой зоны.
5.10. Командируемым работникам под их личную ответственность с письменного разрешения руководителя Оператора разрешается иметь при себе в пути следования документы, содержащие персональные данные субъектов ПДн.
5.11. О фактах утраты документов, содержащих персональные данные субъектов ПДн, дел и других материалов либо разглашения содержащихся в них сведений немедленно ставится в известность руководитель Оператора. По факту утраты проводится служебное расследование и составляется акт, который предоставляется руководителю Оператора. Расследование проводится согласно Регламенту по обеспечению информационной безопасности персональных данных в информационных системах персональных данных, утвержденному Оператором.
5.12. Черновики, документы, потерявшие актуальность, и испорченные экземпляры документов, содержащих персональные данные субъектов ПДн, не выбрасываются. По мере накопления таких материалов, работники, из числа имеющих доступ к персональным данным субъектов ПДн, уничтожают все накопившиеся черновые материалы способом, гарантирующим невозможность восстановления информации с уничтоженных документов. Уничтожение производится в соответствии с Инструкцией о порядке уничтожения персональных данных, утвержденной Оператором, и оформляется актом.
5.13. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъектов ПДн распространяются как на бумажные, так и на электронные носители информации.
6. Получение и передача персональных данных третьим лицам
6.1. Оператор в ходе своей деятельности имеет право получать от третьих лиц и передавать третьим лицам обрабатываемые персональные данные в интересах и с согласия субъектов ПДн, а также без согласия субъекта ПДн — в случаях, предусмотренных федеральным законодательством.
Типовая форма согласия работника на получение его персональных данных у третьей стороны приведена в Приложении № 1а.
Типовая форма согласия субъекта ПДн на передачу его персональных данных третьей стороне приведена в Приложении № 1б.
7. Обязанности Оператора при сборе персональных данных субъектов ПДн
7.1. Правовым основанием для начала обработки персональных данных работников и близких родственников работников является трудовой договор между Оператором и работником и/или согласие работника на обработку его персональных данных. Типовая форма согласия работника на обработку его персональных данных приведена в Приложении № 2.
7.2. Правовым основанием для начала обработки персональных данных клиентов является согласие клиента на обработку его персональных данных.
7.3. Правовым основанием для начала обработки персональных данных контрагентов является договор об оказании услуг.
7.4. Факт передачи материальных носителей, содержащих персональные данные субъектов ПДн, между Оператором и другими организациями оформляется Актом приёма-передачи (Приложение № 3).
8. Права субъектов ПДн
8.1.Субъекты ПДн имеют право:
- знакомиться со сведениями, содержащими свои персональные данные, включая право получать копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;
- выбирать представителей для защиты своих персональных данных;
- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением федерального закона; при отказе Оператора исключить или исправить персональные данные, субъект ПДн имеет право заявить об этом в письменной форме;
- требовать от Оператора предоставления информации обо всех изменениях персональных данных, произведенных последним, а также уведомления всех лиц, которым по вине должностных лиц были сообщены неверные или неполные персональные данные субъекта ПДн;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в суд любые неправомерные действия или бездействие Оператора при обработке его персональных данных.
8.3. При обращении субъекта ПДн или его законного представителя по вопросам предоставления информации о персональных данных, относящихся к соответствующему субъекту, Оператор обязан сообщить данному субъекту информацию о наличии персональных данных, предоставить возможность ознакомления с ней.
8.4. Обращения субъектов ПДн фиксируются в Журнале учета обращений субъектов персональных данных по вопросам обработки персональных данных.
8.5. Порядок работы с обращениями субъектов ПДн определен в Правилах рассмотрения запросов субъектов персональных данных, утвержденных Оператором.
9. Система допуска сотрудников к сведениям, составляющим персональные данные субъектов ПДн
9.1.Свободный доступ к персональным данным субъектов ПДн закрывается с целью их защиты. Лица, не имеющие доступа к персональным данным, относятся к категории посторонних.
9.2. Перечень лиц, имеющих право доступа к персональным данным субъектов ПДн для осуществления своих трудовых функций, устанавливается приказом руководителя Оператора.
9.3. Работники, в отношении которых руководителем Оператора было принято решение предоставить право доступа к персональным данным субъектов ПДн, допускаются к работе с ними только после принятия на себя следующих обязательств, отраженных в должностных инструкциях:
9.5. Подписание работником обязательства о неразглашении сведений конфиденциального характера (Приложение №5) является обязательным условием для его допуска к работе с персональными данными субъектов ПДн. Обязательство о неразглашении оформляется при устройстве на работу и хранится в личном деле работника. Контроль за своевременным подписанием обязательства о неразглашении сведений конфиденциального характера возлагается на ответственного за организацию обработки персональных данных.
9.6. Доступ к персональным данным субъектов ПДн предоставляется только тем работникам, которым этот доступ необходим для выполнения служебных обязанностей, и в объёме, необходимом для качественного и своевременного выполнения порученных ему работ.
9.7. Список лиц, имеющих доступ к персональным данным, для каждой информационной системы персональных данных утверждается руководителем Оператора.
9.8. В случае если сотрудник сторонней организации имеет доступ к персональным данным субъектов ПДн, необходимо, чтобы в договоре со сторонней организацией были прописаны условия конфиденциальности персональных данных и обязанность сторонней организации и ее сотрудников по соблюдению требований законодательства в области защиты персональных данных.
9.9. Прекращение трудового договора, независимо от оснований, не освобождает работника от взятых обязательств о неразглашении сведений, составляющих персональные данные субъектов ПДн.
9.10. При устройстве на работу нового сотрудника ответственный за обработку персональных данных знакомит под подпись в Журнале учета ознакомления работников, имеющих доступ к персональным данным, с положениями федерального законодательства в сфере персональных данных и организационно-распорядительными документами, регламентирующими защиту персональных данных.
9.11. Ответственный за организацию обработки персональных данных настраивает права учетной записи пользователя для доступа к персональным данным, обрабатываемым в информационной системе, вносит необходимые изменения в матрице доступа к информационной системе и вносит изменения в список лиц, допущенных к работе с персональными данными, который утверждается приказом руководителя Оператора.
9.12. Доступ третьих лиц к персональным данным разрешается только при наличии заявления запросившего их лица с указанием перечня необходимой информации, целей для которых она будет использована, с письменного согласия субъекта ПДн, персональные данные которого затребованы.
9.13. Сообщение сведений о персональных данных субъекта ПДн его родственникам, членам семьи, иным близким ему людям также производится только при получении письменного согласия субъекта ПДн.
9.14. При передаче персональных данных третьим лицам, в том числе представителям субъекта ПДн в порядке, установленном нормативными правовыми актами РФ и настоящим Положением, передаваемая информация ограничивается только теми персональными данными, которые необходимы для выполнения третьими лицами их функций.
9.15. Запрещается передача персональных данных в коммерческих целях без согласия субъекта ПДн, а также иное использование персональных данных в неслужебных целях.
10. Обязанности работников Оператора, допущенных к персональным данным субъектов ПДн
10.1. Работники Оператора, допущенные к персональным данным субъектов ПДн, обязаны:
Лица, не имеющие доступ в помещение, где обрабатываются персональные данные субъектов ПДн, могут находиться там только в служебных целях и только в присутствии лиц, имеющих права допуска в данное помещение.
11. Условия обработки персональных данных, осуществляемой без использования средств автоматизации
11.1. Сотрудники, осуществляющие обработку персональных данных субъектов ПДн без использования средств автоматизации, должны быть проинформированы до начала обработки о категориях персональных данных, об особенностях и правилах обработки персональных данных, изложенных в настоящем Положении.
11.2. В типовых формах, в которые предполагается внесение персональных данных, должна содержаться следующая информация:
11.4. Носители персональных данных не должны оставаться без присмотра. Покидая рабочее место, лица, ответственные за хранение, должны убирать носители в металлический запираемый шкаф или сейф.
12. Защита персональных данных субъектов ПДн
12.1. Оператор при обработке персональных данных субъектов ПДн принимает необходимые организационные и технические меры, в том числе использует шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
12.2. Руководитель Оператора несет ответственность за соблюдение режима конфиденциальности персональных данных и за сохранность материальных носителей, содержащих персональные данные.
12.3. В целях обеспечения защиты персональных данных субъектов ПДн разрабатываются и утверждаются:
12.5. В случае выявления неправомерных действий с персональными данными Оператор обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Оператор обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта ПДн или его законного представителя.
12.6. Внутренняя защита персональных данных субъектов ПДн.
12.6.1 Персональные данные, содержащиеся на бумажных носителях, хранятся в металлическом запираемом шкафу, доступ посторонних лиц к которому исключен.
12.6.2. Персональные данные, содержащиеся на электронных носителях информации, хранятся на сервере. Доступ к персональным компьютерам, с которых имеется доступ к ПДн, ограничен кругом лиц, ответственных за обработку персональных данных.
12.6.3. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
13. Правила работы с обезличенными персональными данными
13.1. Обезличивание персональных данных субъектов ПДн может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных Оператора и по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
13.2. Способы обезличивания при условии дальнейшей обработки персональных данных:
Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
Для обезличивания персональных данных могут использоваться любые способы, не запрещенные законодательством.
13.3. Руководитель Оператора принимает решение о необходимости обезличивания персональных данных субъектов ПДн.
13.4. Порядок проведения обезличивания определен в Правилах работы с обезличенными персональными данными.
14. Организация внутреннего контроля обработки и обеспечения безопасности персональных данных
14.1. Организация внутреннего контроля процесса обработки персональных данных субъектов ПДн осуществляется в целях изучения и оценки фактического состояния защищенности персональных данных, своевременного реагирования на нарушения установленного порядка их обработки, а также в целях совершенствования этого порядка и обеспечения его соблюдения.
14.2. Мероприятия по осуществлению внутреннего контроля обработки и обеспечения безопасности персональных данных субъектов ПДн направлены на решение следующих задач:
14.4. Порядок проведения контроля регламентируется Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
15. Ответственность за разглашение персональных данных
15.1. Работники Оператора, обрабатывающие персональные данные субъектов ПДн, несут персональную ответственность за:
не обеспечение конфиденциальности информации, содержащей персональные данные;
неправомерный отказ субъекту ПДн в предоставлении собранных в установленном порядке персональных данных либо предоставление неполной или заведомо ложной информации.
15.2. Ответственность за разглашение персональных данных субъектов ПДн.
15.2.1. Под распространением персональных данных понимаются преднамеренные или непреднамеренные действия, направленные на раскрытие персональных данных субъектов ПДн работниками Оператора неопределенному кругу лиц. Под предоставлением персональных данных понимаются действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
15.2.2. Ответственность за разглашение персональных данных субъектов ПДн несет персонально каждый работник Оператора, имеющий доступ к персональным данным и допустивший их несанкционированное распространение.
15.2.3. За разглашение персональных данных субъектов ПДн и нарушение порядка защиты таких данных работники Оператора, а также уволенные из него лица, привлекаются к ответственности в соответствии с законодательством Российской Федерации.
15.2.4. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с федеральным законодательством.
9.1.Свободный доступ к персональным данным субъектов ПДн закрывается с целью их защиты. Лица, не имеющие доступа к персональным данным, относятся к категории посторонних.
9.2. Перечень лиц, имеющих право доступа к персональным данным субъектов ПДн для осуществления своих трудовых функций, устанавливается приказом руководителя Оператора.
9.3. Работники, в отношении которых руководителем Оператора было принято решение предоставить право доступа к персональным данным субъектов ПДн, допускаются к работе с ними только после принятия на себя следующих обязательств, отраженных в должностных инструкциях:
- нести персональную ответственность за сохранность доверенных им сведений, содержащих персональные данные субъектов ПДн;
- осуществлять обработку персональных данных в соответствии с положениями федерального законодательства в сфере персональных данных, нормативными актами и организационно-распорядительными документами, регламентирующими защиту и обработку персональных данных;
- не допускать действий, способных повлечь утрату документов, содержащих персональные данные, разглашение или неправомерное искажение персональных данных;
- знать и неуклонно соблюдать требования локальных нормативных актов Оператора о режиме защиты персональных данных;
- незамедлительно сообщать руководителю об утрате документов, содержащих персональные данные субъектов ПДн;
- давать письменные объяснения об известных им обстоятельствах при проведении разбирательств по фактам нарушения требований локальных нормативных актов Оператора о режиме защиты персональных данных, а также по фактам утраты и хищения документов, содержащих персональные данные;
- давать письменное обязательство о неразглашении сведений конфиденциального характера.
9.5. Подписание работником обязательства о неразглашении сведений конфиденциального характера (Приложение №5) является обязательным условием для его допуска к работе с персональными данными субъектов ПДн. Обязательство о неразглашении оформляется при устройстве на работу и хранится в личном деле работника. Контроль за своевременным подписанием обязательства о неразглашении сведений конфиденциального характера возлагается на ответственного за организацию обработки персональных данных.
9.6. Доступ к персональным данным субъектов ПДн предоставляется только тем работникам, которым этот доступ необходим для выполнения служебных обязанностей, и в объёме, необходимом для качественного и своевременного выполнения порученных ему работ.
9.7. Список лиц, имеющих доступ к персональным данным, для каждой информационной системы персональных данных утверждается руководителем Оператора.
9.8. В случае если сотрудник сторонней организации имеет доступ к персональным данным субъектов ПДн, необходимо, чтобы в договоре со сторонней организацией были прописаны условия конфиденциальности персональных данных и обязанность сторонней организации и ее сотрудников по соблюдению требований законодательства в области защиты персональных данных.
9.9. Прекращение трудового договора, независимо от оснований, не освобождает работника от взятых обязательств о неразглашении сведений, составляющих персональные данные субъектов ПДн.
9.10. При устройстве на работу нового сотрудника ответственный за обработку персональных данных знакомит под подпись в Журнале учета ознакомления работников, имеющих доступ к персональным данным, с положениями федерального законодательства в сфере персональных данных и организационно-распорядительными документами, регламентирующими защиту персональных данных.
9.11. Ответственный за организацию обработки персональных данных настраивает права учетной записи пользователя для доступа к персональным данным, обрабатываемым в информационной системе, вносит необходимые изменения в матрице доступа к информационной системе и вносит изменения в список лиц, допущенных к работе с персональными данными, который утверждается приказом руководителя Оператора.
9.12. Доступ третьих лиц к персональным данным разрешается только при наличии заявления запросившего их лица с указанием перечня необходимой информации, целей для которых она будет использована, с письменного согласия субъекта ПДн, персональные данные которого затребованы.
9.13. Сообщение сведений о персональных данных субъекта ПДн его родственникам, членам семьи, иным близким ему людям также производится только при получении письменного согласия субъекта ПДн.
9.14. При передаче персональных данных третьим лицам, в том числе представителям субъекта ПДн в порядке, установленном нормативными правовыми актами РФ и настоящим Положением, передаваемая информация ограничивается только теми персональными данными, которые необходимы для выполнения третьими лицами их функций.
9.15. Запрещается передача персональных данных в коммерческих целях без согласия субъекта ПДн, а также иное использование персональных данных в неслужебных целях.
10. Обязанности работников Оператора, допущенных к персональным данным субъектов ПДн
10.1. Работники Оператора, допущенные к персональным данным субъектов ПДн, обязаны:
- знать и выполнять требования организационно-распорядительных документов, регулирующих защиту и обработку персональных данных;
- хранить в тайне известныеим персональные данные субъектов ПДн;
- информировать руководителя и ответственного за организацию обработки персональных данных о фактах нарушения порядка обращения с персональными данными субъектов ПДн, о попытках несанкционированного доступа к таким сведениям;
- строго соблюдать правила пользования документами и другими материальными носителями, порядок их учета и хранения, обеспечивать в процессе работы сохранность информации, содержащейся в них, от посторонних лиц;
- использовать в работе только те документы, к которым получен доступ в силу исполнения прямых служебных обязанностей;
- о допущенных нарушениях установленного порядка работы, учета и хранения документов, а также о фактах разглашения, распространения персональных данных представлять письменные объяснения руководителю Оператора;
- убирать после окончания рабочего дня все съёмные носители и документы, содержащие персональные данные, в сейф или шкаф.
- разглашать персональные данные субъектов ПДн;
- использовать персональные данные субъектов ПДн в личных интересах;
- выполнять на дому работы, связанные с персональными данными субъектов ПДн, без разрешения руководителя Оператора;
- выносить документы и другие носители информации, содержащие персональные данные субъектов ПДн, из здания Оператора без разрешения руководителя Оператора;
- использовать персональные данные субъектов ПДн в открытой переписке, статьях и выступлениях;
- снимать копии с документов и других носителей информации, содержащих персональные данные, или производить выписки из них, а равно использовать различные технические средства (видео- и звукозаписывающую аппаратуру) для записи персональных данных без разрешения руководителя Оператора;
- передавать персональные данные субъектов ПДн по открытым каналам связи (Интернет);
- размещать на общедоступных сетевых ресурсах Оператора или в сети Интернет персональные данные субъектов ПДн без их согласия;
- оставлять документы и другие материальные носители, содержащие персональные данные субъектов ПДн, без присмотра.
Лица, не имеющие доступ в помещение, где обрабатываются персональные данные субъектов ПДн, могут находиться там только в служебных целях и только в присутствии лиц, имеющих права допуска в данное помещение.
11. Условия обработки персональных данных, осуществляемой без использования средств автоматизации
11.1. Сотрудники, осуществляющие обработку персональных данных субъектов ПДн без использования средств автоматизации, должны быть проинформированы до начала обработки о категориях персональных данных, об особенностях и правилах обработки персональных данных, изложенных в настоящем Положении.
11.2. В типовых формах, в которые предполагается внесение персональных данных, должна содержаться следующая информация:
- цель обработки персональных данных, наименование и адрес Оператора, источник получения, срок обработки, перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
- поле для проставления субъектом персональных данных отметки о согласии на обработку персональных данных без использования средств автоматизации.
11.4. Носители персональных данных не должны оставаться без присмотра. Покидая рабочее место, лица, ответственные за хранение, должны убирать носители в металлический запираемый шкаф или сейф.
12. Защита персональных данных субъектов ПДн
12.1. Оператор при обработке персональных данных субъектов ПДн принимает необходимые организационные и технические меры, в том числе использует шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
12.2. Руководитель Оператора несет ответственность за соблюдение режима конфиденциальности персональных данных и за сохранность материальных носителей, содержащих персональные данные.
12.3. В целях обеспечения защиты персональных данных субъектов ПДн разрабатываются и утверждаются:
- списки лиц, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения трудовых обязанностей;
- локальные нормативные акты и должностные инструкции;
- иные документы, регулирующие порядок обработки и обеспечения безопасности и конфиденциальности персональных данных.
12.5. В случае выявления неправомерных действий с персональными данными Оператор обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Оператор обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта ПДн или его законного представителя.
12.6. Внутренняя защита персональных данных субъектов ПДн.
12.6.1 Персональные данные, содержащиеся на бумажных носителях, хранятся в металлическом запираемом шкафу, доступ посторонних лиц к которому исключен.
12.6.2. Персональные данные, содержащиеся на электронных носителях информации, хранятся на сервере. Доступ к персональным компьютерам, с которых имеется доступ к ПДн, ограничен кругом лиц, ответственных за обработку персональных данных.
12.6.3. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
- определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
- разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
- внедрение и ввод в эксплуатацию системы защиты информации в соответствии с эксплуатационной и технической документацией;
- оценку эффективности принятых мер;
- обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
- учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
- учет лиц, допущенных к работе с персональными данными в информационной системе;
- контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
- анализ фактов несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, составление заключений по данным фактам, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
- описание системы защиты персональных данных.
13. Правила работы с обезличенными персональными данными
13.1. Обезличивание персональных данных субъектов ПДн может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных Оператора и по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
13.2. Способы обезличивания при условии дальнейшей обработки персональных данных:
Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
Для обезличивания персональных данных могут использоваться любые способы, не запрещенные законодательством.
13.3. Руководитель Оператора принимает решение о необходимости обезличивания персональных данных субъектов ПДн.
13.4. Порядок проведения обезличивания определен в Правилах работы с обезличенными персональными данными.
14. Организация внутреннего контроля обработки и обеспечения безопасности персональных данных
14.1. Организация внутреннего контроля процесса обработки персональных данных субъектов ПДн осуществляется в целях изучения и оценки фактического состояния защищенности персональных данных, своевременного реагирования на нарушения установленного порядка их обработки, а также в целях совершенствования этого порядка и обеспечения его соблюдения.
14.2. Мероприятия по осуществлению внутреннего контроля обработки и обеспечения безопасности персональных данных субъектов ПДн направлены на решение следующих задач:
- Обеспечение соблюдения работниками Оператора требований настоящего Положения и нормативно-правовых актов, регулирующих сферу персональных данных.
- Оценка компетентности работников, задействованных в обработке персональных данных.
- Обеспечение работоспособности и эффективности технических средств информационных систем защиты персональных данных и средств защиты персональных данных, их соответствия требованиям уполномоченных органов исполнительной власти по вопросам безопасности персональных данных.
- Выявление нарушений установленного порядка обработки персональных данных и своевременное предотвращение негативных последствий таких нарушений.
- Принятие корректирующих мер, направленных на устранение выявленных нарушений как в порядке обработки персональных данных, так и в работе технических средств информационной системы персональных данных.
- Разработка рекомендаций по совершенствованию порядка обработки и обеспечения безопасности персональных данных по результатам контрольных мероприятий.
- Осуществление контроля за исполнением рекомендаций и указаний по устранению нарушений.
14.4. Порядок проведения контроля регламентируется Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
15. Ответственность за разглашение персональных данных
15.1. Работники Оператора, обрабатывающие персональные данные субъектов ПДн, несут персональную ответственность за:
не обеспечение конфиденциальности информации, содержащей персональные данные;
неправомерный отказ субъекту ПДн в предоставлении собранных в установленном порядке персональных данных либо предоставление неполной или заведомо ложной информации.
15.2. Ответственность за разглашение персональных данных субъектов ПДн.
15.2.1. Под распространением персональных данных понимаются преднамеренные или непреднамеренные действия, направленные на раскрытие персональных данных субъектов ПДн работниками Оператора неопределенному кругу лиц. Под предоставлением персональных данных понимаются действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
15.2.2. Ответственность за разглашение персональных данных субъектов ПДн несет персонально каждый работник Оператора, имеющий доступ к персональным данным и допустивший их несанкционированное распространение.
15.2.3. За разглашение персональных данных субъектов ПДн и нарушение порядка защиты таких данных работники Оператора, а также уволенные из него лица, привлекаются к ответственности в соответствии с законодательством Российской Федерации.
15.2.4. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с федеральным законодательством.