Add to collection(s) Add to saved
  1. No category

ПОЛОЖЕНИЕ о порядке обработки персональных данных ООО

advertisement 
ПОЛОЖЕНИЕ
о порядке обработки персональных данных
ООО «ЭОС»
Вступают в действие с 01 марта 2014года
Версия 2.0
Положение
о порядке обработки персональных данных
Москва 2014
Оглавление
1.
Общие положения
3
2.
Принципы и общие условия обработки персональных данных
4
3.
Порядок обработки персональных данных работников
5
4.
Порядок обработки персональных данных контрагентов и должников
9
5.
Порядок предоставления доступа субъектов персональных данных к их персональным
данным
12
6.
Организация защиты персональных данных
14
7.
Внутрикорпоративная защита персональных данных
15
8.
Внешняя защита персональных данных
16
9.
Заключительные положения
17
Страница 2 из 18
Положение
о порядке обработки персональных данных
1.
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение определяет порядок обработки персональных данных в
Обществе с ограниченной ответственностью «ЭОС» (далее - Общество).
1.2. Положение разработано на основании ст. 24 Конституции РФ, главы 14 Трудового
Кодекса РФ, § 1 главы 24 Гражданского кодекса РФ, Федерального закона от 27.07.2006 г. № 149ФЗ «Об информации, информатизации и защите информации» и Федерального закона от
27.07.2006 г. № 152-ФЗ «О персональных данных».
1.3. Настоящее Положение и изменения к нему утверждаются приказом генерального
директора Общества в установленном порядке.
1.4. Для целей настоящего Положения применяются следующие термины и определения:
персональные данные - любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу (субъекту персональных данных);
обработка персональных данных - любое действие (операция) или совокупность действий
(операций), совершаемых с использованием средств автоматизации или без использования таких
средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение,
уточнение (обновление, изменение), извлечение, использование, передачу (распространение,
предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных
данных;
конфиденциальность персональных данных - обязательное для соблюдения Обществом
или иным получившим доступ к персональным данным лицом требование не допускать их
распространение без согласия субъекта персональных данных или наличия иного законного
основания;
распространение персональных данных - действия, направленные на раскрытие
персональных данных неопределенному кругу лиц;
использование персональных данных - действия (операции) с персональными данными,
совершаемые должностным лицом компании в целях принятия решений или совершения иных
действий, порождающих юридические последствия в отношении субъектов либо иным образом
затрагивающих их права и свободы или права и свободы других лиц;
блокирование персональных данных - временное прекращение обработки персональных
данных (за исключением случаев, если обработка необходима для уточнения персональных
данных);
уничтожение персональных данных - действия, в результате которых невозможно
восстановить содержание персональных данных в информационной системе персональных
данных физических лиц или в результате которых уничтожаются материальные носители
персональных данных субъектов;
обезличивание персональных данных - действия, в результате которых становится
невозможным без использования дополнительной информации определить принадлежность
персональных данных конкретному субъекту персональных данных;
общедоступные персональные данные - персональные данные, доступ неограниченного
круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с
федеральными законами не распространяется требование соблюдения конфиденциальности;
трансграничная передача персональных данных - передача персональных данных на
территорию иностранного государства органу власти иностранного государства, иностранному
физическому лицу или иностранному юридическому лицу;
информационная система персональных данных - совокупность содержащихся в базах
данных персональных данных и обеспечивающих их обработку информационных технологий и
технических средств.
Страница 3 из 18
Положение
о порядке обработки персональных данных
2.
ПРИНЦИПЫ И ОБЩИЕ УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Принципы обработки персональных данных:
2.1.1. Обработка персональных данных должна осуществляться на законной и справедливой
основе.
2.1.2. Обработка персональных данных должна ограничиваться достижением конкретных,
заранее определенных и законных целей. Не допускается обработка персональных данных,
несовместимая с целями сбора персональных данных.
2.1.3. Не допускается объединение баз данных, содержащих персональные данные,
обработка которых осуществляется в целях, несовместимых между собой.
2.1.4. Обработке подлежат только персональные данные, которые отвечают целям их
обработки.
2.1.5. Содержание и объем обрабатываемых персональных данных должны соответствовать
заявленным целям обработки. Обрабатываемые персональные данные не должны быть
избыточными по отношению к заявленным целям их обработки.
2.1.6. При обработке персональных данных должны быть обеспечены точность
персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению
к целям обработки персональных данных.
2.1.7. Хранение персональных данных должно осуществляться в форме, позволяющей
определить субъекта персональных данных, не дольше, чем этого требуют цели обработки
персональных данных, если срок хранения персональных данных не установлен федеральным
законом, договором, стороной которого, выгодоприобретателем или поручителем по которому
является субъект персональных данных. Обрабатываемые персональные данные подлежат
уничтожению либо обезличиванию по достижении целей обработки или в случае утраты
необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.1.8. Обработка персональных данных должна осуществляться с соблюдением принципов
и правил, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных
данных».
2.2. Категории субъектов персональных данных:
2.2.1. Общество осуществляет обработку персональных данных следующих субъектов:
- работников Общества;
- иных субъектов персональных данных - физических лиц (являющихся клиентами
Общества, контрагентами Общества, представителями контрагентов и клиентов Общества),
физических лицах, имеющих задолженность перед Обществом или клиентами/контрагентами
Общества (далее - Контрагенты и Должники).
2.3. Цели обработки персональных данных:
2.3.1. Общество осуществляет обработку персональных данных Работников исключительно
в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия
работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной
безопасности работников, контроля количества и качества выполняемой работы и обеспечения
сохранности имущества.
2.3.2. Обработка персональных данных иных субъектов персональных данных
осуществляется в целях обеспечения выполнения работ и предоставления услуг, определенных
Уставом Общества, выполнения договорных обязательств Общества перед клиентами и
контрагентами, а также для осуществления прав и законных интересов Общества.
2.4. Ответственный за организацию обработки персональных данных в Обществе:
Страница 4 из 18
Положение
о порядке обработки персональных данных
2.4.1. Ответственным за организацию обработки персональных данных в Обществе является
Начальник отдела Информационных технологий, который назначается приказом Генерального
директора.
2.4.2. Лицо, ответственное за организацию обработки персональных данных в Обществе,
получает указания непосредственно от Генерального директора и подотчетно ему.
2.4.3. Общество обязано предоставлять лицу, ответственному за организацию обработки
персональных данных, сведения, указанные в части 3 статьи 22 Федерального закона от 27.07.2006
г. № 152-ФЗ «О персональных данных».
2.4.4. Лицо, ответственное за организацию обработки персональных данных, в частности,
обязано:
1) осуществлять внутренний контроль за соблюдением Обществом и его работниками
законодательства Российской Федерации о персональных данных, в том числе требований к
защите персональных данных;
2) доводить до сведения работников Общества положения законодательства Российской
Федерации о персональных данных, локальных актов по вопросам обработки персональных
данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных
данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких
обращений и запросов.
2.5. Подразделение, ответственное за обеспечение безопасности персональных данных:
2.5.1. Подразделением, осуществляющим функции по организации защиты персональных
данных в Обществе, является Отдел информационных технологий Общества, который создаться
на основании приказа Генерального директора (далее «Подразделение»).
2.5.2. Подразделение осуществляет свою деятельность на основании Положения о
подразделении, осуществляющем функции по организации защиты персональных данных и
действующего законодательства.
3.
ПОРЯДОК
ОБЩЕСТВА
ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ
ДАННЫХ
РАБОТНИКОВ
3.1. Сведения о персональных данных работников относятся к числу конфиденциальной
информации, которая составляет охраняемую законом тайну Общества. Защита персональных
данных работника должна обеспечиваться полностью за счет работодателя.
3.2. К персональным данным работника относятся:
- анкетные данные;
- паспортные данные;
- фото и видео изображение;
- сведения об образовании;
- занимаемая должность;
- размер заработной платы;
- сведения о трудовом и общем стаже;
- сведения о предыдущем месте работы;
- сведения о составе семьи;
- сведения о социальных льготах;
- сведения о воинском учете;
- наличие судимостей;
- адрес регистрации и фактического проживания;
- контактные телефоны;
- содержание декларации, подаваемой в налоговую инспекцию;
Страница 5 из 18
Положение
о порядке обработки персональных данных
- результаты медицинского обследования на предмет годности к осуществлению трудовых
обязанностей.
3.3. Перечень документов, содержащих персональные данные работников:
- комплексы документов, сопровождающие процесс оформления трудовых отношений при
приеме на работу, переводе, увольнении;
- комплекс материалов по анкетированию, тестированию, проведению собеседований с
кандидатом на должность;
- подлинники и копии приказов по личному составу Общества;
- основания к приказам по личному составу Общества;
- документация по организации работы структурных подразделений Общества;
- личные дела и трудовые книжки работников;
- трудовые договоры;
- дела, содержащие материалы по повышению квалификации и переподготовке работников,
их аттестации, служебным расследованиям;
- копии отчетов, направляемые в органы статистики;
- копии документов об образовании;
- автобиографии;
- рекомендации, характеристики, фотографии.
3.4. Работодатель вправе обрабатывать персональные данные работников только с их
письменного согласия, которое должно включать в себя:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного
документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и
выдавшем его органе;
- наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие
субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта
персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие,
общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва.
3.4.1. Согласие работника не требуется в следующих случаях:
- обработка персональных данных осуществляется на основании Трудового кодекса РФ или
иного федерального закона, устанавливающего ее цель, условия получения персональных данных
и круг субъектов, персональные данные которых подлежат обработке, а также определенного
полномочия работодателя;
- обработка персональных данных в целях исполнения трудового договора;
- обработка персональных данных осуществляется для статистических или иных научных
целей при условии обязательного обезличивания персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных
жизненно важных интересов работника, если получение его согласия невозможно.
3.5. Порядок получения персональных данных работника:
3.5.1. Получение персональных данных работника осуществляется работодателем от него
самого.
3.5.2. Работник обязан предоставлять работодателю достоверные сведения о себе и
своевременно сообщать ему об изменении своих персональных данных. Работодатель имеет право
Страница 6 из 18
Положение
о порядке обработки персональных данных
проверять достоверность сведений, предоставленных работником, сверяя данные,
предоставленные работником, с имеющимися у работника документами.
3.5.3. Если персональные данные о работнике, возможно получить только у третьей
стороны, работник должен быть уведомлен об этом заранее, и от него должно быть получено
письменное согласие. При этом работник должен быть уведомлен о целях, предполагаемых
источниках и способах получения персональных данных, а также о характере интересующих
Работодателя персональных данных.
3.5.4. Работодатель обязан сообщить работнику о целях, способах и источниках получения
персональных данных, а также о характере подлежащих получению персональных данных и
возможных последствиях отказа работника дать письменное согласие на их получение.
3.5.5. Работодатель не имеет права получать и обрабатывать персональные данные
работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях,
непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24
Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни
работника только с его письменного согласия.
3.5.6. Работодатель не имеет права получать и обрабатывать персональные данные
работника о его членстве в общественных объединениях и его профсоюзной деятельности, за
исключением случаев, предусмотренных федеральными законами.
3.5.7. Информация о состоянии здоровья работника может запрашиваться только в
отношении тех сведений, которые относятся к вопросу о возможности выполнения работником
трудовой функции.
3.5.8. Персональные данные работника не могут быть получены или обработаны третьей
стороной в коммерческих целях без письменного согласия работника.
3.6. Порядок хранения персональных данных работника:
3.6.1. Хранение персональных данных работника на бумажных (личное дело работника,
личная карточка по учету кадров и трудовая книжка) и съёмных электронных носителях
информации осуществляется в отделе по персоналу в сейфе, обеспечивающем защиту от
несанкционированного доступа.
3.6.2. Персональные данные работника хранятся также в электронной базе данных в
информационной системе персональных данных.
3.6.3. Работники Общества, имеющие доступ к персональным данным работников в связи с
исполнением служебных обязанностей должны обеспечить обработку персональных данных
работника, исключающую несанкционированный доступ к ним третьих лиц.
3.6.4. В отсутствие работника на его рабочем месте не должно быть документов,
содержащих персональные данные. При убытии в отпуск, служебную командировку, в случае
болезни он обязан передать документы и электронные носители информации, содержащие
персональные данные работников лицу, на которое приказом будет возложено исполнение его
служебных обязанностей.
3.6.5. При увольнении работника, имеющего доступ к персональным данным работников,
документы и электронные носители информации, содержащие персональные данные работников,
передаются другому работнику, имеющему доступ к персональным данным работников по
указанию непосредственного руководителя.
3.6.6. После увольнения работника в личное дело вносятся соответствующие документы
(заявление работника о расторжении трудового договора, копия приказа об увольнении), дело
передается на хранение.
3.6.7. Уничтожение персональных данных работника в информационной системе должно
производиться в течение 3-х рабочих дней с даты его увольнения. Трудовой договор и личная
карточка работника должны быть уничтожены по достижении предельного срока хранения - 75
лет. Приказы должны быть уничтожены по истечении 5 лет.
Страница 7 из 18
Положение
о порядке обработки персональных данных
3.7. Порядок передачи персональных данных работника:
3.7.1. При передаче персональных данных работников работодатель должен соблюдать
следующие требования:
- не сообщать персональные данные работника третьей стороне без письменного согласия
работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни
и здоровью работника, а также в случаях, установленных федеральными законами;
- не сообщать персональные данные работника в коммерческих целях без его письменного
согласия;
- предупредить лиц, получающих персональные данные работника о том, что эти данные
могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц
подтверждения того, что это правило соблюдено;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех
сведений, которые относятся к вопросу о возможности выполнения работником трудовой
функции;
- передавать персональные данные работника представителям работников в порядке,
установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми
персональными данными работника, которые необходимы для выполнения указанными
представителями их функций;
- передача работником, ответственным за ведение кадрового делопроизводства,
персональных данных работников в бухгалтерию и другие подразделения должна осуществляться
только для исполнения этими работниками своих служебных обязанностей;
- передача персональных данных работников между подразделениями работодателя должна
осуществляться только между работниками, допущенными к персональным данным работников, в
порядке установленным настоящим Положениям.
- персональные данные о работающем работнике или уже уволенном могут быть
предоставлены другой организации только при наличии его письменного согласия и/или
заявления.
3.8. Допуск к персональным данным работника:
3.8.1. Право доступа к персональным данным работников имеют:
- Генеральный директор;
- работники отдела управления персоналом;
- работники бухгалтерии;
- руководители структурных подразделений по направлению деятельности (доступ к
персональным данным только работников своего подразделения).
- сами работники (доступ к своим персональным данным);
- другие работники Общества при выполнении ими своих служебных обязанностей;
- государственные органы (в объёме и порядке, установленном законом).
3.8.2. Перечень работников Общества имеющих доступ к персональным данным
работников, утверждается приказом Генерального директора Общества и поддерживается в
актуальном состоянии работником Управления по персоналу. Работники работодателя, имеющие
допуск к персональным данным работников, имеют право получать только те персональные
данные работника, которые необходимы им для выполнения конкретных служебных
обязанностей.
3.8.3. Допуск вновь назначенного работника к обработке персональных данных работников
осуществляется на основании приказа о назначении на должность и после выполнения следующих
мероприятий:
- ознакомления с руководящими документами Общества по защите персональных данных;
- оформления письменного соглашения о соблюдении конфиденциальности;
- внесения его в перечень лиц имеющих доступ к персональным данным работников.
Страница 8 из 18
Положение
о порядке обработки персональных данных
3.9. Права и обязанности работника при обработке его персональных данных:
3.9.1. Работник обязан предоставить Работодателю достоверные сведения о себе и
своевременно сообщать работодателю об изменении своих персональных данных.
3.9.2. Работники имеют право:
- Получать свободный бесплатный доступ к своим персональным данным и ознакомление с
ними, включая право на безвозмездное получение копии любой записи, содержащей его
персональные данные.
- Требовать от работодателя уточнения, исключения или исправления неполных, неверных,
устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для
работодателя персональных данных.
- Получать от работодателя сведения о лицах, которые имеют доступ к персональным
данным или которым может быть предоставлен такой доступ;
- Получать от работодателя перечень обрабатываемых персональных данных и источник их
получения, а также информацию о сроках обработки персональных данных, в том числе сроки их
хранения;
- Получать от работодателя сведения о том, какие юридические последствия для субъекта
персональных данных может повлечь за собой обработка его персональных данных.
- Требовать извещения работодателем всех лиц, которым ранее были сообщены неверные
или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях
или дополнениях.
- Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или
в судебном порядке неправомерные действия или бездействия работодателя при обработке и
защите его персональных данных.
4.
ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ КОНТРАГЕНТОВ И
ДОЛЖНИКОВ ОБЩЕСТВА
4.1. Сведения о персональных данных контрагентов и должников относятся к числу
конфиденциальной информации, которая составляет охраняемую законом тайну Общества.
Защита персональных данных контрагентов и должников должна обеспечиваться за счет
Общества.
4.2. К персональным данным должников относятся:
- фамилия, имя, отчество;
- паспортные данные;
- ИНН;
- адрес регистрации и фактического проживания;
- дата рождения;
- адрес и место работы, вид занятости и занимаемая должность;
- номера контактных телефонов;
- сведения об образовании;
- семейное положение;
- социальное положение;
- имущественное положение;
- сведения о доходах;
- сведения о заключенных договорах и наличии задолженности по таким договорам.
4.2.1. К персональным данным контрагентов относятся:
- фамилия, имя, отчество;
- паспортные данные;
- ИНН;
Страница 9 из 18
Положение
о порядке обработки персональных данных
- адрес регистрации и фактического проживания;
- адрес и место работы, вид занятости и занимаемая должность;
- номера контактных телефонов.
4.3. Порядок получения и обработки персональных данных контрагентов и
должников Общества:
4.3.1. Общество вправе обрабатывать персональные данные контрагентов и должников
только с их письменного согласия, которое должно включать в себя:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного
документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и
выдавшем его органе;
- наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие
субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта
персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие,
общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва.
4.3.2. Согласие контрагентов и должников не требуется в следующих случаях:
- обработка персональных данных осуществляется на основании федерального закона,
устанавливающего ее цель, условия получения персональных данных и круг субъектов,
персональные данные которых подлежат обработке, а также определенного полномочия
работодателя;
- обработка персональных данных необходима для исполнения договора, стороной которого
либо выгодоприобретателем или поручителем по которому является субъект персональных
данных, а также для заключения договора по инициативе субъекта персональных данных или
договора, по которому субъект персональных данных будет являться выгодоприобретателем или
поручителем;
- обработка персональных данных осуществляется для статистических или иных научных
целей при условии обязательного обезличивания персональных данных;
- обработка персональных данных необходима для осуществления прав и законных
интересов Общества.
4.3.3. Персональные данные могут быть получены Обществом от лица, не являющегося
субъектом персональных данных, при условии предоставления Обществу подтверждения наличия
оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11
Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
4.3.4. В поручении оператора должны быть определены перечень действий (операций) с
персональными данными, которые будут совершаться лицом, осуществляющим обработку
персональных данных, и цели обработки, должна быть установлена обязанность такого лица
соблюдать конфиденциальность персональных данных и обеспечивать безопасность
персональных данных при их обработке, а также должны быть указаны требования к защите
обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от
27.07.2006 г. № 152-ФЗ «О персональных данных».
4.3.5. Общество, в случае осуществления обработки персональных данных по поручению
другого оператора, обязано соблюдать принципы и правила обработки персональных данных,
предусмотренные Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
4.3.6. Если персональные данные получены Обществом не от субъекта персональных
данных, Общество, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального
закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», до начала обработки таких
персональных данных обязано предоставить субъекту персональных данных следующую
Страница 10 из 18
Положение
о порядке обработки персональных данных
информацию:
1) наименование и адрес;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные законом права субъекта персональных данных;
5) источник получения персональных данных.
4.3.7. Общество не имеет права получать и обрабатывать персональные данные
контрагентов и должников о их политических, религиозных и иных убеждениях и частной жизни,
а также о членстве в общественных объединениях и профсоюзной деятельности, за исключением
случаев, предусмотренных федеральными законами.
4.4. Порядок хранения и уничтожения персональных данных Контрагентов и
Должников:
4.4.1. Хранение персональных данных контрагентов и должников на бумажных и съемных
электронных носителях информации осуществляется в хранилищах, обеспечивающих защиту от
несанкционированного доступа. Места хранения материальных носителей персональных данных
утверждаются приказом генерального директора Общества.
4.4.2. Персональные данные контрагентов и должников заносятся и хранятся в отдельной
электронной базе данных в информационной системе персональных данных.
4.4.3. В случае выявления в процессе хранения недостоверных персональных данных эти
данные блокируются до их уточнения. В случае невозможности их уточнения такие персональные
данные уничтожаются.
4.4.4. Работники Общества, имеющие доступ к персональным данным клиентов в связи с
исполнением служебных обязанностей должны обеспечить обработку этих персональных данных,
исключающую несанкционированный доступ к ним третьих лиц.
4.4.5. В отсутствие работника на его рабочем месте не должно быть документов,
содержащих персональные данные. При убытии в отпуск, служебную командировку, в случае
болезни он обязан передать документы и электронные носители информации, содержащие
персональные данные лицу, на которое будет возложено исполнение его служебных обязанностей,
либо непосредственному руководителю.
4.4.6. При увольнении работника, имеющего доступ к персональным данным, документы и
электронные носители информации, содержащие персональные данные, передаются другому
работнику, имеющему доступ к персональным данным по указанию непосредственного
руководителя.
4.4.7. Персональные данные контрагентов и должников подлежат уничтожению, если иное
не предусмотрено федеральным законом или соглашением между Обществом и субъектом
персональных данных, в следующих случаях:
- в случае достижения цели обработки персональных данных или в случае утраты
необходимости в их достижении в срок, не превышающий 30 (тридцати) дней от даты
наступления такого события;
- в случае отзыва субъектом персональных данных согласия на обработку его персональных
данных и в случае, если сохранение персональных данных более не требуется для целей обработки
персональных данных, в срок, не превышающий 30 (тридцати) дней с даты поступления
указанного отзыва, если иное не предусмотрено договором, стороной которого,
выгодоприобретателем или поручителем по которому является субъект персональных данных,
иным соглашением между Обществом и субъектом персональных данных либо если Общество не
вправе осуществлять обработку персональных данных без согласия субъекта персональных
данных на основаниях, предусмотренных федеральным законом;
- в случае выявления неправомерных действий с персональными данными и
невозможностью устранения допущенных нарушений в срок, установленный законодательством.
Страница 11 из 18
Положение
о порядке обработки персональных данных
4.5. Порядок передачи персональных данных контрагентов и должников:
4.5.1. Передача персональных данных контрагентов и должников Обществом должна
осуществляться при соблюдении следующих требований:
- персональные данные контрагентов и должников могут передаваться третьей стороне
только с их согласия, за исключением случаев, когда это необходимо в целях предупреждения
угрозы жизни и здоровью, а также в случаях, установленных федеральными законами;
- персональные данные контрагентов и должников не могут передаваться в коммерческих
целях без их согласия;
- в случае передачи предупредить лиц, получающих персональные данные контрагентов и
должников о том, что эти данные могут быть использованы лишь в целях, для которых они
сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
- передача персональных данных контрагентов и должников между подразделениями
Общества должна осуществляться только между работниками, имеющими право доступа к таким
данным.
4.6. Допуск к персональным данным контрагентов и должников:
4.6.1. Право доступа к персональным данным контрагентов и должников имеют:
- Генеральный директор;
- работники бухгалтерии;
- сами контрагенты и должники (доступ к своим персональным данным);
- другие работники Общества при выполнении ими своих служебных обязанностей;
- государственные органы (в объёме и порядке, установленном законом).
4.6.2. Перечень работников Общества имеющих доступ к персональным данным
контрагентов и должников, утверждается приказом Генерального директора Общества и
поддерживается в актуальном состоянии работником Отдела информационных технологий.
Работники Общества, имеющие допуск к персональным данным контрагентов и должников,
имеют право получать только те персональные данные, которые необходимы им для выполнения
конкретных служебных обязанностей.
4.6.3. Допуск вновь назначенного работника к обработке персональных данных
контрагентов и должников осуществляется на основании приказа о назначении на должность и
после выполнения следующих мероприятий:
- ознакомления с руководящими документами Общества по защите персональных данных;
- оформления письменного соглашения о соблюдении конфиденциальности;
- внесения в перечень лиц имеющих доступ к персональным данным контрагентов и
должников.
5.
ПОРЯДОК ПРЕДОСТАВЛЕНИЯ ДОСТУПА СУБЬЕКТОВ ПЕРСОНАЛЬНЫХ
ДАННЫХ К ИХ ПЕРСОНАЛЬНЫМ ДАННЫМ
5.1. Субъект персональных данных имеет право на получение информации, касающейся
обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением
работников оператора), которые имеют доступ к персональным данным или которым могут быть
раскрыты персональные данные на основании договора с оператором или на основании
федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту
персональных данных, источник их получения, если иной порядок представления таких данных не
предусмотрен федеральным законом;
Страница 12 из 18
Положение
о порядке обработки персональных данных
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных
настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку
персональных данных по поручению оператора, если обработка поручена или будет поручена
такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими
федеральными законами.
5.2. Сведения, указанные в пункте 5.1. настоящего Положения, предоставляются субъекту
персональных данных или его представителю Обществом при обращении либо при получении
запроса субъекта персональных данных или его представителя. Запрос должен содержать номер
основного документа, удостоверяющего личность субъекта персональных данных или его
представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения,
подтверждающие участие субъекта персональных данных в отношениях с оператором (номер
договора, дата заключения договора, условное словесное обозначение и (или) иные сведения),
либо сведения, иным образом подтверждающие факт обработки персональных данных
оператором, подпись субъекта персональных данных или его представителя. Запрос может быть
направлен в форме электронного документа и подписан электронной подписью в соответствии с
законодательством Российской Федерации.
5.3. Субъект персональных данных вправе обратиться повторно к Обществу или направить
ему повторный запрос в целях получения сведений, указанные в пункте 5.1. настоящего
Положения, и ознакомления с такими персональными данными не ранее чем через тридцать дней
после первоначального обращения или направления первоначального запроса.
5.4. Сведения, указанные в пункте 5.1. настоящего Положения, должны быть
предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны
содержаться персональные данные, относящиеся к другим субъектам персональных данных, за
исключением случаев, если имеются законные основания для раскрытия таких персональных
данных.
5.5. Порядок предоставления доступа к персональным данным работника:
1) контроль за учетом обращений и предоставлением доступа к персональным данным
работника возлагается на Управление персоналом Общества;
2) каждый запрос должен быть зарегистрирован в журнале учета обращений;
3) после регистрации запроса работник Управления персоналом, ответственный за
регистрацию обращений, осуществляет его проверку на соответствие установленным
требованиям;
4) по итогам проведенной проверки работник Управления персоналом, ответственный за
регистрацию обращений, информирует субъекта о принятом решении (об отказе в предоставлении
доступа, либо о сроках и порядке предоставления доступа) и вносит в журнал учета обращений
соответствующие пометки (об исполнителе, принятом решении, сроках исполнения запроса и
иные в случае необходимости).
5) работник Управления персоналом, ответственный за регистрацию обращений, организует
доступ субъекта персональных данных к его персональным данным (сообщает требуемую
информацию).
5.6. Порядок предоставления доступа к персональным данным Контрагентов и Должников:
Страница 13 из 18
Положение
о порядке обработки персональных данных
1) контроль за учетом обращений и предоставлением доступа к персональным данным
Контрагентов и Должников возлагается на Отдел информационных технологий;
2) каждый запрос должен быть зарегистрирован в журнале учета обращений;
3) после регистрации запроса работник Отдела информационных технологий, ответственный
за регистрацию обращений, осуществляет его проверку на соответствие установленным
требованиям;
4) по итогам проведенной проверки работник Отдела информационных технологий,
ответственный за регистрацию обращений, информирует субъекта о принятом решении (об отказе
в предоставлении доступа, либо о сроках и порядке предоставления доступа) и вносит в журнал
учета обращений соответствующие пометки (об исполнителе, принятом решении, сроках
исполнения запроса и иные данные в случае необходимости).
5) работник Отдела информационных технологий, ответственный за регистрацию
обращений, организует доступ субъекта персональных данных к его персональным данным
(сообщает требуемую информацию).
6.
ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Общество при обработке персональных данных обязано обеспечить защиту
персональных данных от неправомерного их использования или утраты, путем принятия мер,
необходимых и достаточных для выполнения установленных законом требований.
6.2. Персональные данные являются конфиденциальной информацией.
6.2.1. Работники Общества, которые в рамках исполнения должностных обязанностей
имеют доступ к персональным данным, обязаны соблюдать режим конфиденциальности на всех
этапах их обработки.
6.1.2. Учитывая массовость и единые места обработки и хранения, гриф
«конфиденциально» на документах, содержащих персональные данные, может не ставиться.
6.1.3. Обеспечение конфиденциальности персональных данных не требуется:
- в случае обезличивания персональных данных;
- в отношении общедоступных персональных данных.
6.2. Общий контроль за соблюдением требований по защите персональных данных
осуществляет начальник отдела информационных технологий в соответствие с Положением о
подразделении, осуществляющем функции по организации защиты персональных данных.
6.3. Организацию обработки персональных данных субъектов, контроль за соблюдением
мер их защиты в структурных подразделениях Общества, работники которых имеют доступ к
персональным данным, осуществляют их непосредственные руководители.
6.4. Разработка и осуществление мероприятий по обеспечению безопасности персональных
данных, обрабатываемых в информационных системах персональных данных, может
осуществляться сторонними организациями на договорной основе, имеющими лицензии на право
проведения соответствующих работ.
6.5. Мероприятия по защите персональных данных осуществляются в соответствии с
внутренним планом, утверждаемым генеральным директором Общества.
6.6. При обработке персональных данных в информационных системах Общество должно
обеспечить выполнение следующих требований:
Страница 14 из 18
Положение
о порядке обработки персональных данных
1) организация режима обеспечения безопасности помещений, в которых размещена
информационная система, препятствующего возможности неконтролируемого проникновения или
пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
2) обеспечение сохранности носителей персональных данных;
3) утверждение перечня лиц, доступ которых к персональным данным, обрабатываемым в
информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
4) использование средств защиты информации, прошедших процедуру оценки соответствия
требованиям законодательства Российской Федерации в области обеспечения безопасности
информации, в случае, когда применение таких средств необходимо для нейтрализации
актуальных угроз;
5) назначение должностного лица (работника), ответственного за обеспечение безопасности
персональных данных в информационной системе;
6) обеспечение доступа к содержанию электронного журнала сообщений только
должностных лиц (работников) Общества или уполномоченных лиц, которым сведения,
содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых)
обязанностей;
7) автоматическая регистрация в электронном журнале безопасности изменения полномочий
сотрудника Общества по доступу к персональным данным, содержащимся в информационной
системе;
8) своевременное обнаружение фактов несанкционированного доступа к персональным
данным;
9) недопущение воздействия на технические средства автоматизированной обработки
персональных данных, в результате которого может быть нарушено их функционирование;
10)
возможность
незамедлительного
восстановления
персональных
данных,
модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
7.
ВНУТРИКОРПОРАТИВНАЯ ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1 Представляет собой защиту персональных данных от несанкционированных действий
работников Общества. В целях обеспечения внутрикорпоративной защиты персональных данных
субъектов применяются организационные и технические мероприятия.
7.2 Организационные мероприятия:
- обеспечение учета и хранения съемных носителей информации и их обращение,
исключающее хищение, подмену и уничтожение;
- проведение классификации информационных систем персональных данных комиссией,
назначаемой генеральным директором Общества;
- ограничение и регламентация состава работников, функциональные обязанности которых
требуют доступа к персональным данным субъектов;
- строгое избирательное и обоснованное распределение документов и информации между
работниками Общества;
- рациональное размещение рабочих мест работников, при котором исключается
несанкционированное использование защищаемой информации;
- знание работниками внутренних требований Общества по защите конфиденциальной
информации, проведение с работниками воспитательной и разъяснительной работы, направленной
на соблюдение этих требований;
- регламентация состава работников Общества, имеющих право доступа в помещения, в
котором находятся технические средства обработки персональных данных, а также хранятся
электронные и бумажные носители персональных данных;
- наличие разработанного порядка уничтожения конфиденциальной информации;
- определение угроз безопасности персональных данных при их обработке, формирование на
Страница 15 из 18
Положение
о порядке обработки персональных данных
их основе модели угроз;
- разработка на основе модели угроз системы защиты персональных данных,
обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов
защиты персональных данных, предусмотренных для соответствующего класса информационных
систем;
- назначение ответственных должностных лиц за обеспечение безопасности персональных
данных при их обработке в информационных системах персональных данных (администраторов
информационной безопасности);
- обучение работников, использующих средства защиты информации, применяемые в
информационных системах, правилам работы с ними;
- учет применяемых средств защиты информации, эксплуатационной и технической
документации к ним, носителей персональных данных;
- учет лиц, допущенных к работе в информационной системе персональных данных;
- размещение технических средств, позволяющих осуществлять обработку персональных
данных, в пределах охраняемой территории;
- организация физической защиты помещений и собственно технических средств,
позволяющих осуществлять обработку персональных данных;
- разбирательство и составление заключений по фактам несоблюдения условий хранения
носителей персональных данных, использования средств защиты информации, которые могут
привести к нарушению конфиденциальности персональных данных или другим нарушениям,
приводящим к снижению уровня защищенности персональных данных, разработку и принятие
мер по предотвращению возможных опасных последствий подобных нарушений.
7.3 Технические мероприятия:
- наличие и реализация разрешительной системы доступа пользователей к информационным
ресурсам, программным средствам обработки и защиты информации;
- регистрация действий пользователей, контроль несанкционированного доступа и действий
пользователей, а также посторонних лиц;
- защита паролями базы данных сведений о субъектах персональных данных и всех рабочих
станций, в которых хранится такая информация или с которых есть доступ к этой информации;
- применение в необходимых случаях шифрования персональных данных для обеспечения их
безопасности при передаче на электронных носителях информации либо с использованием
электронной почты, FTP-серверов;
- осуществление антивирусного контроля корпоративной сети Общества, предотвращение
внедрения в информационные системы персональных данных вредоносных программ (программвирусов) и программных закладок;
- резервирование технических средств, дублирование массивов и носителей информации;
- эффективное использование средств защиты информации в соответствие с
эксплуатационной документацией;
- использование средств защиты информации, прошедших в установленном порядке
процедуру оценки соответствия.
8.
ВНЕШНЯЯ ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Внешняя защита представляет собой целенаправленное создание в Обществе
неблагоприятных условий и труднопреодолимых препятствий для лиц, пытающихся осуществить
несанкционированный доступ к персональным данным субъектов в целях овладения ими, их
видоизменения, уничтожения, заражения вредоносной компьютерной программой, подмены и
совершения иных несанкционированных действий.
8.2. Для защиты персональных данных от внешней угрозы применяются следующие меры:
Страница 16 из 18
Положение
о порядке обработки персональных данных
- строгое соблюдение работниками Общества порядка приема, учета и контроля
деятельности посетителей;
- надлежащее обеспечение охраны и пропускного режима на территорию Общества;
- поддержание технических средств охраны, сигнализации помещений в состоянии
постоянной готовности, ведение видеонаблюдения;
- межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и
трансляции сетевых адресов для скрытия структуры информационной системы Общества;
- обнаружение вторжений в информационную систему Общества, нарушающих или
создающих предпосылки к нарушению установленных требований по обеспечению безопасности
персональных данных;
- анализ защищенности информационных систем с применением специализированных
программных средств (сканеров безопасности);
- защита информации при ее передаче по каналам связи;
- использование электронных замков и других носителей информации для надежной
идентификации и аутентификации пользователей;
- централизованное управление системой защиты персональных данных информационной
системы.
8.3. При обнаружении нарушений порядка предоставления персональных данных
уполномоченное лицо незамедлительно приостанавливает предоставление персональных данных
пользователям информационной системы до выявления причин нарушений и устранения этих
причин.
8.4. Функции по организации пропускного режима на территорию Общества или их часть
могут выполняться сторонней организацией на основании договора. Договором должен быть
определен порядок пропуска лиц на территорию Общества, вноса и выноса имущества, а также
охраны помещений в нерабочее время.
9.
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
9.1. Иные права, обязанности, действия работников, в служебные обязанности которых
входит обработка персональных данных, определяются также должностными инструкциями.
9.2. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных
данных, несут материальную, дисциплинарную, административную, гражданско-правовую или
уголовную ответственность в порядке, установленном федеральными законами.
9.3. Разглашение персональных данных, их публичное раскрытие, утрата документов и
иных носителей, содержащих персональные данные, а также иные нарушения обязанностей по их
защите и обработке, установленных настоящим Положением, другими локальными нормативными
актами (приказами, распоряжениями) Общества, влечет наложение на работника, имеющего
доступ к персональным данным, дисциплинарного взыскания – замечания, выговора, увольнения.
9.4. Работник, имеющий доступ к персональным данным и совершивший указанный
дисциплинарный проступок, несет полную материальную ответственность в случае причинения
его действиями ущерба работодателю (п.7 ст. 243 Трудового кодекса РФ).
9.5. Работники Общества, имеющие доступ к персональным данным, виновные в их
незаконном разглашении или использовании без согласия субъектов персональных данных из
корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут
уголовную ответственность в соответствии со ст. 183 Уголовного кодекса РФ.
Страница 17 из 18
Положение
о порядке обработки персональных данных
9.6. Финансирование мероприятий по обеспечению безопасности персональных данных
осуществляется за счет средств Общества.
Страница 18 из 18
Related documents
АНКЕТА Участника конкурса эссе «Молодежь – в политику!» Ф.И
АНКЕТА Участника конкурса эссе «Молодежь – в политику!» Ф.И
анкету - Курсы веб-дизайна, Херсон. Курсы Photoshop
анкету - Курсы веб-дизайна, Херсон. Курсы Photoshop
Download
advertisement