Лизинг спецтехники, легковых и грузовых автомобилей для физических лиц и ИП
8 800 505-90-63
НАЧАТЬ ИНВЕСТИРОВАТЬ
8 800 505-90-63
НАЧАТЬ ИНВЕСТИРОВАТЬ
ПОЛОЖЕНИЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ, КЛИЕНТОВ И КОНТРАГЕНТОВ
1. Общие положения
1.1. Положение о защите персональных данных работников, клиентов и контрагентов является локальным нормативным актом ООО ЛК «Форум» (далее по тексту – Общество) устанавливающим порядок получения, обработки, хранения, передачи и защиты персональных данных в Общество.
1.2. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Главой 14 Трудового кодекса Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом № 115-ФЗ, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информатизации, информационных технологиях и о защите информации», Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», иными нормативными актами, действующими на территории Российской Федерации.
1.3. В настоящем Положении используются следующие термины и определения: Оператор – Общество, вступившее в договорные отношения с работником, клиентом или контрагентом, организующее и осуществляющее, в связи с этим обработку персональных данных. Клиент – физическое лицо, официальный представитель – физическое лицо юридического лица и индивидуального предпринимателя, вступившее в договорные отношения по оказанию услуг с Обществом. Контрагент – физическое лицо, физическое лицо – представитель юридического лица или индивидуального предпринимателя, вступившие с Обществом в договорные отношения. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Субъект персональных данных – работник, клиент, контрагент. Защита персональных данных – комплекс мер, принимаемых Обществом для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
1.4. Настоящее Положение вступает в силу с момента его утверждения приказом руководителя Общество.
1.5. Настоящее Положение является обязательным для исполнения всеми работниками Общество, имеющими доступ к персональным данным, и доводится до их сведения персонально под роспись.
1.6. Действия настоящего Положения распространяется на всех Клиентов и Контрагентов Общество.
2. Понятие и состав персональных данных
2.1. Персональные данные - информация, необходимая в целях исполнения Обществом обязательств, возникших из трудовых отношений с работниками, из гражданско-правовых отношений с клиентами и контрагентами. Под информацией понимаются сведения о фактах, событиях и обстоятельствах жизни субъекта персональных данных, позволяющие идентифицировать его личность.
2.2. В состав персональных данных работника входят: фамилия, имя, отчество; год, месяц, дата и место рождения; адрес регистрации по месту жительства (почтовый адрес); адрес фактического проживания (почтовый адрес фактического проживания); семейное положение; паспортные данные; социальное положение; адрес электронной почты, телефон; данные свидетельства о заключении брака; данные свидетельства о расторжении брака; данные свидетельства о рождении детей; сведения о стаже работы и о местах работы (город, название организации, должность, сроки работы); сведения о наградах (поощрениях), почетных званиях; данные страхового свидетельства государственного пенсионного страхования (СНИЛС); данные свидетельства о постановке на учет в налоговом органе физического лица (ИНН); данные полиса медицинского страхования; сведения об образовании, повышении квалификации, профессиональной переподготовки и местах обучения (город, образовательное учреждение, сроки обучения, специальность, квалификация, профессия); сведения о наличии льгот и гарантий, предоставляемых в соответствии с действующим законодательством; сведения о доходах; данные документов воинского учета – для военнообязанных и лиц, подлежащих призыву на воинскую службу; сведения медицинского характера.
2.3. В состав персональных данных клиентов входят: фамилия, имя, отчество; год, месяц, дата и место рождения; адрес; паспортные данные; данные страхового свидетельства государственного пенсионного страхования (СНИЛС); данные свидетельства о постановке на учет в налоговом органе физического лица (ИНН); образование; место работы или учебы; занимаемая должность; сведения о трудовом стаже; сведения о доходах; семейное положение; телефон; адрес электронной почты.
2.4. В состав персональных данных контрагентов входят: фамилия, имя, отчество; год, месяц, дата и место рождения; адрес; паспортные данные; данные страхового свидетельства государственного пенсионного страхования (СНИЛС); данные свидетельства о постановке на учет в налоговом органе физического лица (ИНН); адрес электронной почты; телефон.
3. Обработка персональных данных
3.1. В целях обеспечения прав и свобод человека и гражданина Обществом и его представителями при обработке персональных данных должны соблюдаться следующие общие требования:
3.1.1. Обработка персональных данных должна осуществляться на законной и справедливой основе, исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия выполнения договорных обязательств в соответствии с законодательством Российской Федерации.
3.1.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, а также объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.
3.1.3. Получение Обществом персональных данных может осуществляться как путем представления их самим субъектом персональных данных, так и путем получения их из иных источников. Если персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие. Общество должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
3.1.4. Общество не имеет права получать и обрабатывать персональные данные работника, клиента, контрагента о его политических, религиозных и иных убеждениях, о частной жизни. В необходимых случаях данные о частной жизни работника или клиента (информация о семейных, бытовых, личных отношениях) могут быть получены и обработаны Обществом только с его письменного согласия.
3.1.5. Общество не имеет право получать и обрабатывать персональные данные работника, клиента, контрагента об их членстве в общественных объединениях или их профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
3.2. Использование персональных данных возможно только в соответствии с целями, определившими их получение.
3.3. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено действующим законодательством Российской Федерации.
3.4. При принятии решений, затрагивающих интересы работника, клиента или контрагента, Общество не имеет права основываться на персональных данных работника, клиента или контрагента, полученных исключительно в результате их автоматизированной обработки без его письменного согласия на такие действия.
3.5. При идентификации клиента или контрагента Общество может затребовать предъявления документов, удостоверяющих личность и подтверждающих полномочия представителя. При заключении договора, как и в ходе выполнения договора, Общество может затребовать предоставление клиентом или контрагентом иных документов, содержащих информацию о нем.
3.6. После принятия решения о заключении договора или предоставления документов, подтверждающих полномочия представителя, а также впоследствии, в процессе выполнения договора, к документам, содержащим персональные данные клиента или контрагента, так же будут относиться: - договоры; - приказы по основной деятельности; - служебные записки; - другие документы, где включение персональных данных клиента или контрагента необходимо согласно действующему законодательству.
3.7. Передача персональных данных возможна только с согласия работника, клиента, контрагента или в случаях, прямо предусмотренных законодательством Российской Федерации.
3.7.1. При передаче персональных данных Общество должен соблюдать следующие требования: не сообщать персональные данные третьей стороне без письменного согласия работника, клиента, контрагента за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, клиента, контрагента, а также в случаях, установленных законодательством Российской Федерации; предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они получены, и требовать от этих лиц подтверждения того, что это правило соблюдено; не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции; передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
3.8. Все меры конфиденциальности при обработке персональных данных распространяются как на бумажные, так и на электронные носители информации.
3.9. Не допускается отвечать на вопросы, связанные с предоставлением персональных данных по телефону или факсу.
3.10. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
3.11. Период хранения и обработки персональных данных определяется в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
3.12. Обработка персональных данных начинается с момента поступления персональных данных в Обществе и прекращается: - в случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления; - в случае достижения цели обработки персональных данных; - в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных; - в случае прекращения деятельности Общество.
3.13. Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта. Лицо, осуществляющее обработку персональных данных по поручению Общество, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». В поручении Общество должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
3.14. Лицо, осуществляющее обработку персональных данных по поручению Общество, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
3.15. В случае, если Общество поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Общество. Лицо, осуществляющее обработку персональных данных по поручению Общество, несет ответственность перед Обществом.
4. Организация защиты персональных данных
4.1. Все Работники, имеющие доступ к персональным данным Клиентов или Контрагентов, обязаны подписать соглашение о неразглашении персональных данных.
4.2. Защита персональных данных Клиентов или Контрагентов от неправомерного их использования или утраты обеспечивается Оператором в порядке, установленном законодательством РФ.
4.3. Клиенты или Контрагенты до предоставления своих персональных данных должны иметь возможность ознакомиться с настоящим Положением.
4.4. Защите подлежит: - информация о персональных данных субъекта; - документы, содержащие персональные данные субъекта; - персональные данные, содержащиеся на электронных носителях.
4.5. Оператор назначает ответственного за организацию обработки персональных данных.
4.6. Оператор издает документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
4.7. Оператор принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 года №152-ФЗ «О персональных данных», в том числе: 1) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных; 2) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; 3) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; 4) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных; 5) учет машинных носителей персональных данных; 6) обнаружение фактов несанкционированного доступа к персональным данным и принятием мер; 7) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; 8) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; 9) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
4.8. Оператор осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону от 27.07.2006 года №152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.
4.9. Оператор осуществляет оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;
4.10. Ознакамливает своих работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
4.11. Ответственные лица соответствующих подразделений, хранящих персональные данные на бумажных носителях и машинных носителях информации, обеспечивают их защиту от несанкционированного доступа и копирования.
4.12. Ответственные лица структурных подразделений, обрабатывающие персональные данные в информационных системах персональных данных и машинных носителях информации, обеспечивают защиту в соответствии с законодательством РФ.
5. Хранение персональных данных
5.1. Сведения о Клиентах и Контрагентах хранятся на бумажных носителях в помещении Общество. Для хранения носителей используются специально оборудованные шкафы и сейфы, которые запираются и опечатываются, и сдаются под охрану.
5.2. Обязанности по хранению документов, где содержаться персональные данные Клиентов или Контрагентов, возлагаются на конкретного работника Общество и закрепляются в его должностной инструкции.
5.3. Ключи от шкафов и сейфов, в которых хранятся носители, находится у ответственного работника Общество, которому они передаются по Акту. При отсутствии данного работника используются дубликаты ключей, находящиеся у непосредственного начальника ответственного работника.
5.4. Персональные данные Клиентов или Контрагентов могут так же храниться в электронном виде, доступ к которым ограничен и регламентируется Оператором.
5.5. Доступ к персональным данным Клиентов или Контрагентов без специального разрешения имеют работники, занимающие в Обществе следующие должности: - Генеральный директор; - Юрист; - Главный бухгалтер; - Менеджер;
5.6. Внутренний доступ (доступ внутри организации) к персональным данным Клиентов или Контрагентов имеют работники, внесенные в список лиц, допущенных к обработке персональных данных.
5.7. Хранение персональных данных Клиента или Контрагента должно осуществляться в форме, позволяющей определить Клиента или Контрагента, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Клиент или Контрагент. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. Сроки хранения документов, содержащих персональные данные Клиента или Контрагента, определяются в соответствие со сроком действия договора с Клиентом или Контрагентом, сроком исковой давности, а также иными требованиями законодательства РФ.
5.8. Период хранения и обработки персональных данных определяется в соответствии с Законом «О персональных данных». Обработка персональных данных начинается с момента поступления персональных данных в информационные системы персональных данных и прекращается: - в случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления, Общество устраняет допущенные нарушения. В случае невозможности устранения допущенных нарушений, Общество в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, уничтожает персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Общество уведомляет субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, Общество уведомляет также указанный орган; - в случае достижения цели обработки персональных данных Общество незамедлительно прекращает обработку персональных данных и уничтожает соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, и уведомляет об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, Общество уведомляет также указанный орган; - в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Общество прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва. Об уничтожении персональных данных Общество уведомляет субъекта персональных данных. - в случае прекращения деятельности Общества.
6. Передача персональных данных
6.1. При передаче персональных данных Клиента или Контрагента Оператор соблюдает следующие требования:
6.1.1. Не сообщает персональные данные Клиента или Контрагента третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, при поступлении официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях», при поступлении официальных запросов из налоговых органов, органов Пенсионного Фонда России, органов Федерального социального страхования, судебных органов, а также в случаях, предусмотренных иными федеральными законами. Оператор в каждом конкретном случае делает самостоятельную оценку серьезности, неминуемости, степени такой угрозы. Если же лицо, обратившееся с запросом, не уполномочено на получение персональных данных Клиента или Контрагента, либо отсутствует письменное согласие Клиента или Контрагента на предоставление его персональных сведений, либо, по мнению Оператора, присутствует угроза жизни или здоровью Клиента или Контрагента, Работодатель обязан отказать в предоставлении персональных данных лицу. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении персональных данных.
6.1.2. Не сообщает персональные данные Клиента или Контрагента в коммерческих целях без его письменного согласия.
6.1.3. Предупреждает лиц, получающих персональные данные Клиента или Контрагента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные Клиента или Контрагента, обязаны соблюдать требования конфиденциальности.
6.1.4. Осуществляет передачу персональных данных Клиента или Контрагента в пределах своей организации в соответствии с настоящим Положением.
6.1.5. Разрешает доступ к персональным данным Клиентов или Контрагентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Клиента или Контрагента, которые необходимы для выполнения конкретных функций. Лица, получающие персональные данные Клиента или Контрагента, обязаны соблюдать требования конфиденциальности.
6.1.6. Не запрашивает информацию о состоянии здоровья Клиента или Контрагента, за исключением тех сведений, которые относятся к вопросу о возможности выполнения Клиентом или Контрагентов своих представительских функций;
6.1.7. Передает персональные данные Клиента или Контрагента его представителям в порядке, установленном законодательством РФ, и ограничивает эту информацию только теми персональными данными Клиента или Контрагента, которые необходимы для выполнения указанными представителями их функций.
6.2. В случае если Оператору оказываются услуги юридическими или физическими лицами на основании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к персональным данным Клиентов или Контрагентов, то соответствующие данные предоставляются Оператором только после подписания с ними соглашения о конфиденциальности (неразглашении конфиденциальной информации).
6.3. Все сведения о передаче персональных данных Клиентов или Контрагентов регистрируются в Журнале учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается, какая именно информация была передана
7. Доступ к персональным данным
7.1. К обработке, передаче и хранению персональных данных могут иметь доступ: Руководитель Общества; Руководители структурных подразделений по направлению деятельности (доступ к личным данным только сотрудников своего подразделения); другие работники Общества при выполнении ими своих должностных обязанностей.
7.2. Перечень должностей, на которых работники имеют доступ к персональным данным работников, клиентов и контрагентов, и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение правил обработки персональных данных, определяется и утверждается руководителем Обществоа. Доступ к персональным данным предоставляется только лицам, замещающим должности из Перечня.
7.3. Работники Общества имеют доступ к персональным данным и выполняют действия по обработке персональных данных в пределах, определенных должностными обязанностями.
7.4. Работники, получившие доступ к персональным данным, должны использовать эти данные лишь в целях, для которых они обрабатываются, соблюдать режим конфиденциальности, информировать Общество об утечке персональных данных, о фактах нарушения порядка обращения с ними и о попытках несанкционированного доступа к персональным данным.
7.5. Внешний доступ.
7.5.1. Сообщение сведений о персональных данных другим организациям и гражданам разрешается при наличии письменного согласия работника или контрагента и заявления, подписанного руководителем организации либо гражданином, запросившим такие сведения.
7.5.2. К лицам, которым могут быть переданы персональные данные вне организации, при условии соблюдения законодательства относятся:
- правоохранительные органы;
- налоговые органы;
- судебные органы;
- отделения Пенсионного фонда РФ;
- отделения Фонда социального страхования;
- отделения Фонда обязательного медицинского страхования;
- федеральная инспекция труда;
- военкоматы;
- иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.
7.5.3. Надзорные и контрольные органы имеют доступ к информации только в пределах своей компетенции.
8. Защита персональных данных
8.1. Защите подлежат:
- персональные данные работника, клиента, контрагента, содержащиеся в копиях документов;
- персональные данные работника, клиента, контрагента, содержащиеся в документах, созданных Обществом;
- персональные данные работника, клиента, контрагента, занесенные в учетные формы;
- записи, содержащие персональные данные работника, клиента, контрагента;
- персональные данные работника, клиента, контрагента, содержащиеся на электронных носителях.
8.2. Общество принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 года №152-ФЗ «О персональных данных».
8.2.1. Обществом принимаются следующие правовые и организационные меры:
1) Разработаны и утверждены локальные нормативные акты Общества: Политика в отношении обработки и защиты персональных данных, Положение о защите персональных данных работников, клиентов и контрагентов, которыми регламентируется порядок получения, обработки, хранения, передачи и защиты персональных данных в Обществе.
2) Определен перечень должностей, на которых работники имеют доступ к персональным данным.
3) Установлен обязательный порядок ознакомления работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Общества в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.
4) Все лица, в обязанности которых входит непосредственное осуществление обработки персональных данных, при приеме на работу обязаны подписывать обязательство о неразглашении персональных данных.
5) Приказом руководителя Общества назначено ответственное лицо за организацию обработки персональных данных.
6) Обеспечен неограниченный доступ к Политике в отношении обработки и защиты персональных данных.
7) Бесконтрольное использование защищаемой информации обеспечивается тем, что:
- рабочие места работников размещаются таким образом, чтобы исключить возможность обозрения находящихся на столе документов, а также мониторов компьютеров посторонними лицами;
- документы, содержащие персональные данные хранятся в запираемых шкафах, а также в металлическом запираемом сейфе;
- персональные данные, обработка, которых осуществляется в различных целях, хранятся раздельно.
8.2.2. Технические меры:
1) Помещение, в котором осуществляется обработка персональных данных, должно быть оборудовано охранной сигнализацией.
2) Кабинеты, в котором осуществляется обработка персональных данных и(или) хранение, опечатывается. Право доступа в кабинет имеют лица, допущенные к обработке персональных данных на основании приказа руководителя Общества.
3) Персональные компьютеры работников Общества, непосредственно осуществляющих обработку персональных данных, защищаются паролями, которые известны этим работникам соответственно. Пароли должны изменяться не реже одного раза в два месяца. На указанных персональных компьютерах также имеется антивирусная защита.
8.3. Общество осуществляет внутренний контроль и аудит соответствия порядка обработки персональных данных Федеральному закону от 27.07.2006 года №152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных.
9. Порядок уничтожения персональных данных
9.1. Уничтожение персональных данных осуществляется комиссией, назначаемой приказом руководителя Общества. Лицо, ответственное за организацию обработки персональных данных назначается председателем комиссии по уничтожению персональных данных.
9.2. При наступлении любого из событий, повлекших, необходимость уничтожения персональных данных, в соответствии с законодательством Российской Федерации, лицо, ответственное за организацию обработки персональных данных обязано:
- уведомить членов комиссии о работах по уничтожению персональных данных;
- определить (назначить) время, место работы комиссии (время и место уничтожения персональных данных);
- установить перечень, тип, наименование, регистрационные номера и другие данные носителей, на которых находятся персональные данные, подлежащие уничтожению (и/или материальные носители персональных данных);
- определить технологию (приём, способ) уничтожения персональных данных (и/или материальных носителей персональных данных);
- определить технические (материальные, программные и иные) средства, посредством которых будет произведено уничтожение персональных данных;
- руководя работой членов комиссии, произвести уничтожение персональных данных (и/или материальных носителей персональных данных);
- оформить соответствующий Акт об уничтожении персональных данных (и/или материальных носителей персональных данных) и представить Акт об уничтожении персональных данных (и/или материальных носителей персональных данных) на утверждение руководителю;
- в случае необходимости уведомить об уничтожении персональных данных субъекта персональных данных и/или уполномоченный орган.
10. Права и обязанности субъекта персональных данных
10.1. В целях защиты персональных данных, хранящихся у Общества, субъект персональных данных имеет право на:
10.1.1. Предоставление полной информации о составе персональных данных и их обработке.
10.1.2. Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации.
10.1.3. Определение представителей для защиты своих персональных данных.
10.1.4. Требование об исключении или исправлении неверных или неполных устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для Общества персональных данных. При отказе Общества исключить или исправить персональные данные субъект персональных данных имеет право заявить в письменной форме Обществу о своем несогласии с соответствующим обоснованием такого несогласия.
10.1.5. Требование об извещении Обществом всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
10.1.6. Обжалование в суд любых неправомерных действий или бездействия Общества при обработке и защите его персональных данных.
10.2. В целях обеспечения достоверности персональных данных субъект персональных данных обязан:
10.2.1. При заключении договора предоставить Обществу полные и достоверные данные о себе.
10.2.2. В случае изменения сведений, составляющих персональные данные, незамедлительно, но не позднее пяти рабочих дней, предоставить данную информацию Обществу.
11. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными
11.1. Лица, виновные в нарушении порядка обращения с персональными данными, несут предусмотренную законодательством Российской Федерации ответственность.
11.2. Дисциплинарная ответственность:
- Разглашение персональных данных работника, клиента, контрагента Общества, то есть передача посторонним лицам, не имеющим к ним доступа; публичное раскрытие; утрата документов и иных носителей, содержащих персональные данные работника; иные нарушения обязанностей по их защите, обработке и хранению, установленных настоящим Положением, а также иными локальными нормативными актами Общества, лицом, ответственным за получение, обработку и защиту персональных данных работника, влекут наложение на него дисциплинарного взыскания - выговора, увольнения (пп. «в» п.6 ч. 1 ст. 81 Трудового кодекса РФ).
- В случае причинения ущерба Обществу работник, имеющий доступ к персональным данным сотрудников и совершивший указанный дисциплинарный поступок, несет полную материальную ответственность в соответствии с п. 7 ч. 1 ст. 243 Трудового кодекса РФ.
11.3. Административная ответственность:
- За нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) (ст. 13.11 КоАП РФ).
- За разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14 КоАП РФ).
11.4. Уголовная – за нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения.
Введите номер телефона
Ваша заявка успешно отправлена