Защита персональных данных

УТВЕРЖДАЮ

На основании приказа № 8 от 14 августа 2019 г.

Индивидуальный предприниматель

s___________________ С.Г. Петровский

ПОЛОЖЕНИЕ

ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общие сведения

Положение об обработке и защите персональных данных Индивидуального предпринимателя Петровского Сергея Геннадьевича (далее по тексту - ИП) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных ИП.

Настоящее Положение определяет политику ИП, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

Настоящее Положение об обработке персональных данных ИП (далее по тексту просто Положение) разработано в соответствии с ФЗ от 27.07.2006. № 152 ФЗ «О персональных данных» (далее по тексту просто ФЗ152), Трудовым кодексом РФ (далее по тексту – ТК РФ), а также «Перечнем сведений конфиденциального характера», которые были утверждены Указом Президента РФ от 06.03.1997№188.

Рассматриваемое Положение задаёт порядок обработки персональных сведений и устанавливает необходимые требования общего характера к обеспечению безопасности персональных данных, обрабатываемых ИП (далее по тексту просто Оператор), как с использованием средств для автоматической обработки информации, так использования этих средств.

Обработка персональных данных ИП осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством Российской Федерации в области персональных данных.

В данном Положении предусмотрены следующие понятия:

Пользователь - лицо, с которым заключено договор об оказании услуг;

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

ИП – Индивидуальный предприниматель Петровский Сергей Геннадьевич (ИП Петровский С.Г.);

Персональные данные (ПДн) –любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн);

Предоставление персональных данных – действия, направленные на раскрытие персональных данных;

определенному лицу или определенному кругу лиц;

Работник – физическое лицо, вступившее в трудовые отношения с ИП Петровским С.Г.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Субъект персональных данных (Субъект ПДн)– физическое лицо, к которому относятся соответствующие персональные данные;

Уничтожение персональных данных - действия, в результате которых становится

невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

1. Цели обработки персональных данных

• Персональные данные ИП обрабатываются в целях:

Персональные данные кандидатов на вакантные должности -в целях обеспечения соблюдения законов Российской Федерации и иных нормативных правовых актов, содействия в трудоустройстве, проверки деловых и личностных качеств.

Обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, обеспечения соблюдения законодательства Российской Федерации, содействия в трудоустройстве.

• Персональные данные лиц, принятых для прохождения практики, в целях обеспечения

соблюдения законов Российской Федерации и иных нормативных правовых актов, содействия в обучении и трудоустройстве.

•  Персональные данные уволенных работников -в целях обеспечения соблюдения законов

Российской Федерации и иных нормативных правовых актов, в том числе в части бухгалтерского и налогового учета, обеспечения архивного хранения документов.

• Персональные данные родственников работников –в целях обеспечения соблюдения законов

Российской Федерации и иных нормативных правовых актов,

предоставления гарантий и компенсаций работникам ИП, установленных

действующим законодательством и локальными нормативными актами ИП;

• Персональные данные Пользователей -в целях исполнения договоров об оказании

услуг связи, заключенных между ИП и Пользователем. Персональные данные

лиц, желающих заключить договор на оказание услуг с ИП -в целях заключения договора об оказании услуг между ИП и потенциальным Пользователем.

• Персональные данные представителей субъектов персональных данных –

в целях обеспечения соблюдения прав и законных интересов субъекта персональных

данных, уполномочившего представителя на представление его интересов во

взаимоотношениях с ИП.

• Персональные данные представителей контрагентов ИП, включая контактных лиц

контрагентов, -в целях исполнения заключенных договоров.

1. Условия и порядок обработки персональных данных работников ИП Петровского С.Г.

Персональные данные работников ИП, граждан, претендующих на должность у ИП, обрабатываются в целях обеспечения кадровой работы.

У ИП осуществляется обработка ПДн следующих категорий работников:

• Работников ИП;
• Уволенных работников;
• Кандидатов на вакантные должности;
• Лиц, принятых для прохождения практики;
  • Родственников работников;
  • Лиц, с которыми заключены договоры гражданско-правового характера.

В целях, настоящего Положения, обрабатываются следующие категории персональных данных работников ИП, а также граждан, претендующих на должность:

• Фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
• Число, месяц, год рождения;
• Место рождения;
• Информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
• Вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
• Номер контактного телефона или сведения о других способах связи;
• Реквизиты страхового свидетельства государственного пенсионного страхования;
• Адрес места жительства (адрес регистрации, фактического проживания);
• Идентификационный номер налогоплательщика;
• Семейное положение, состав семьи;
• Реквизиты страхового медицинского полиса обязательного медицинского страхования;
• Реквизиты свидетельства государственной регистрации актов гражданского состояния;
• Сведения о воинском учете и реквизиты документов воинского учета;
• Сведения о трудовой деятельности;
• Сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
• Фотография;
• Сведения об ученой степени;
• Информация о владении иностранными языками, степень владения;
• Сведения о прохождении государственной гражданской службы;
• Сведения о профессиональной переподготовке и (или) повышении квалификации;
• Номер банковской карты;
• Сведения о доходах,
• Номер расчетного счета;
• Иные персональные данные, необходимые для достижения целей, предусмотренных настоящим Положением;

Обработка персональных данных работников ИП, граждан, претендующих на должность у ИП осуществляется при условии получения согласия указанных лиц в следующих случаях:

• При принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
• При передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации;

Обработка персональных данных работников ИП, граждан, претендующих на должность работников ИП, осуществляется индивидуальным предпринимателем и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В случаях, предусмотренных настоящим Положением, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом "О персональных данных".

Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных работников ИП, граждан, претендующих на замещение должностей работников ИП, осуществляется путем:

• Получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые ИП;
• Копирования оригиналов документов;
•  Формирования персональных данных в ходе кадровой работы;
• Внесения сведений в учетные формы (на бумажных и электронных носителях);

Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от работников ИП, граждан, претендующих на замещение должностей ИП.

Передача (распространение, предоставление) и использование персональных данных работников ИП, граждан, претендующих на замещение должностей в ИП, осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

Запрещается получать, обрабатывать следующие данные работников ИП и граждан, претендующих на замещение должностей в ИП: данные касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

1. Условия и порядок обработки персональных данных субъектов:

     В ИП обработка персональных данных физических лиц осуществляется в целях предоставления услуг.  

У ИП осуществляется обработка ПДн следующих категорий Субъектов:

• Пользователей и лиц, желающих заключить договор на услуги с ИП;
• Представителей субъектов персональных данных, уполномоченных на представление их интересов.
• Представителей контрагентов ИП, включая контактных лиц контрагентов;

 В рамках рассмотрения обращений граждан подлежат обработке следующие персональные данные заявителей:

• Фамилия, имя, отчество (последнее при наличии);
• Указанный в анкете контактный телефон;
• Почтовый адрес;
• Вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
• Адрес электронной почты;
• Иные персональные данные, указанные Пользователем в анкете, а также ставшие известными в ходе общения с Оператором или в процессе рассмотрения поступившего обращения.

1. Порядок обработки персональных данных субъектов персональных данных в информационных системах

Обработка персональных данных осуществляется на автоматизированных рабочих местах сотрудников ИП.

Информационная система персональных данных ИП содержит персональные данные сотрудников ИП и субъектов (Пользователей).

Информация может вноситься как в автоматическом режиме, при получении персональных данных с сайта ИП, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

Классификация информационных систем персональных данных, указанных в Положении, осуществляется в порядке, установленном законодательством Российской Федерации. Работникам, имеющим право осуществлять обработку Персональных данных в информационных системах, предоставляется доступ к прикладным программным подсистемам.

Обеспечение безопасности персональных данных, обрабатываемых ИП, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

• Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
• Определение угроз безопасности персональных данных при их обработке;
• Восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
• Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.
• Своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до Индивидуального предпринимателя;
• Недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
• Возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• Постоянный контроль за обеспечением уровня защищенности персональных данных;
• Учет применяемых средств защиты информации, эксплуатационной и технической эксплуатационной и технической документацией;
• Разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
• При обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин;

Обмен персональными данными при их обработке в информационных системах персональных данных осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.

1. Права Субъектов персональных данных

Субъекты, ПДн которых обрабатываются ИП, имеют право получить информацию относительно ПДн, обрабатываемых ИП, в объеме, предусмотренном ФЗ РФ «О персональных данных»

Требовать извещения ИП всех лиц, которым ранее были сообщены неверные или неполные ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях.

Обжаловать в уполномоченный орган по защите прав Субъектов ПДн или в судебном порядке неправомерные действия или бездействия ИП при

обработке и защите его ПДн.

Требовать от ИП уточнения, исключения или исправления неполных, неверных, устаревших, неточных, незаконно полученных, или не являющихся необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

1. Конфиденциальность ПДн

ИП и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия Субъекта ПДн, за исключением случаев,

предусмотренных действующим законодательством.

1. Передача персональных данных

Передача персональных данных работниками Оператора третьему лицу может выполняться только в ситуации, когда субъект предоставил письменное соглашение на выполнение данного действия, если иное не предусмотрено федеральным законодательством.

Передача (распространение, предоставление) и использование персональных данных Пользователей (субъектов персональных данных) осуществляется только в случаях и в порядке, предусмотренных федеральными законами.

Передача персональных сведений о субъектах между подразделениями оператора должна выполняться только между работниками, которые были допущены к обработке персональных данных.

ИП в ходе своей деятельности может предоставлять персональные данные субъектов третьим лицам в соответствии с требованиями законодательства РФ либо с согласия субъекта персональных данных. При этом обязательным условием предоставления персональных данных третьему лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.

Если персональные данные были переданы 3-м лицам, то с третьим лицом должно быть подписано специальное Соглашение, в котором указывается о соблюдении безопасности персональных данных, которые были переданы на совершение обработки. Форма рассматриваемого Соглашения должна быть утверждена приказом руководителя Оператора.

1. Сроки обработки и хранения персональных данных.

Срок обработки ПДн, обрабатываемых ИП, определяется организационно -распорядительными документами ИП в соответствии с положениями ФЗ РФ «О персональных данных».

Персональные данные, срок обработки которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом.

Сроки обработки ПДн определяются в соответствии со сроком действия договора с субъектом ПДн, приказом Минкультуры РФ от 25.08.2010 No 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроками исковой давности, а также иными сроками, установленными законодательством РФ и организационно-распорядительными документами ИП.

1. Уничтожение (обезличивание) персональных данных

Уничтожение (обезличивание) ПДн Субъекта производится в следующих случаях:

• По достижении целей их обработки или в случае утраты необходимости в их достижении в

срок, не превышающий тридцати дней с момента достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект ПДн, иным соглашением между ИПм и Субъектом ПДн либо если ИП не вправе осуществлять обработку ПДн без согласия Субъекта ПДн на основаниях,

предусмотренных федеральными законами РФ;

• В случае отзыва Субъектом ПДн согласия на Обработку его ПДн, если сохранение ПДн

более не требуется для целей Обработки ПДн, в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено

договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект ПДн, иным соглашением между ИП и Субъектом ПДн либо если ИП не вправе осуществлять Обработку ПДн без согласия Субъекта ПДн на основаниях, предусмотренных федеральными законами РФ;

• В случае выявления неправомерной обработки ПДн ИП в срок, не превышающий десяти

рабочих дней с момента выявления неправомерной обработки ПДн;

• В случае предписания уполномоченного органа по защите прав субъектов ПДн,

Прокуратуры России или решения суда.

• В случае истечения срока хранения ПДн, определяемого в соответствии

законодательством РФ и организационно-распорядительными документами ИП;

При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн и при необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию. Уничтожение части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

10. Ответственность за нарушение норм, регулирующих обработку персональных данных.

ИП и/или Работники ИП, виновные в нарушении требований законодательства РФ о персональных данных, а также положений настоящей Политики, несут предусмотренную законодательством Российской Федерации ответственность.

1. Заключительные положения

Права и обязанности работников Оператора, не указанные в Положении, представленном выше, определяются Инструкцией пользователя информационных систем персональных данных.

Работник, обладающий доступом к персональным данным и сделавший дисциплинарный проступок, несёт полную материальную ответственность в том случае, если его совершёнными действиями был причинён ущерб работодателю (п. 7 ст. 243 ТК РФ). Работники Операторы, которые обладают доступом к персональным данным, в том случае когда они виновны в их незаконном разглашении или применении без согласия субъектов персональных данных из корыстной или иной личной выгоды и причинившие крупный ущерб, подвержены уголовной ответственности в соответствии со ст. 183 Уголовного кодекса РФ.

Обновление данного положения производится в соответствии с Регламентом по выполнению контрольных мероприятий и реагированию на инциденты, возникшие в сфере информационной безопасности. 

Лица, нарушившие установленные нормы выполнения работ с персональными данными, которые регулируют обработку и защиту персональных данных несут материальную, административную, дисциплинарную, гражданско-правовую или уголовную ответственность в порядке, который был установлен ФЗ. Такие действия как разглашение персональных данных, публичное раскрытие персональных данных, а также утрата документации и иных носителей, которые содержат персональные данные, а также другие нарушение не приведённые выше, но влекущие нарушения в обработке и защите персональных данных, влечёт на сотрудника обладающего доступом к персональным данным, различные формы дисциплинарного взыскания: замечание, выговор или увольнение. 

Скачать PDF