«УТВЕРЖДАЮ»
Директор оператора
ООО «Центр новых технологий - Спектр»
(приложение № 1 к Приказу от 20 декабря 2022 г. № 14/3-Б)_
Положение
об обработке и защите персональных данных
|
г. Нижний Новгород |
«20» декабря 2022 г. |
|
|
|
|
|
|
1.1. Положение об обработке персональных данных (далее - Положение) издано и применяется Обществом с ограниченной ответственностью «Центр новых технологий - Спектр» (ИНН 5262056320/ КПП 525701001/ ОГРН 1025203751760), (далее - Оператор) в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Настоящее Положение определяет политику, порядок и условия Оператора в отношении обработки персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.
Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
1.2. Целью обработки персональных данных является:
- ведение кадрового и бухгалтерского учета, оформления трудовых и гражданско-правовых отношений;
- обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
- продвижение товаров, работ, услуг Оператора на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи (допускается в порядке, предусмотренном п. 3.7 настоящего Положения);
- регламентации порядка осуществления операций с персональными данными сотрудников Оператора;
- обеспечения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и иных правовых актов, регулирующих использование персональных данных;
- установления прав и обязанностей сотрудников Оператора в части работы с персональными данными;
- установления механизмов ответственности сотрудников предприятия за нарушение локальных норм, а также положений федерального, регионального и муниципального законодательства, регулирующих использование персональных данных;
1.3. Действие настоящего Положения не распространяется на отношения, возникающие при:
1) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных фондов в соответствии с законодательством об архивном деле в Российской Федерации;
2) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
1.4. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и настоящим Положением.
Обработка организована Оператором на принципах:
- законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
- ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей. Персональные данные могут обрабатываться только для целеи?, непосредственно связанных с деятельностью Оператора, в частности осуществление уставнои? деятельности. Оператор обрабатывает данные только в объеме, необходимом для достижения указанных целеи?.
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- обработки только персональных данных, которые отвечают целям их обработки. Недопустима обработка персональных данных, несовместимая с целями сбора персональных данных;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
1.5. Способы обработки персональных данных:
- сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, распространение, удаление и уничтожение;
- вышеуказанные действия производятся с использованием средств автоматизации и без использования средств автоматизации (смешенным способом);
- вышеуказанные действия производятся с передачей по внутренней сети Оператора ПД и с передачей по сети Интернет;
1.6. Субъекты и категории персональных данных. В информационных системах Оператора осуществляется обработка следующих субъектов персональных данных:
- работники Оператора, состоящие в ним в трудовых отношениях (в том числе уволенные) и их близкие родственники;
- исполнители и заказчики, продавцы, покупатели, подрядчики и иные контрагенты и их представители, с которыми Оператором заключены договора гражданско-правового характера, в том числе работники и иные физические лица данных контрагентов, выгодоприобретатели по договорам;
- посетители сайта;
- соискатели, претенденты на занимаемые у Оператора должности, учащиеся, студенты;
- законные представители.
1.7. В соответствии с поставленными целями и задачами Оператор до начала обработки персональных данных назначает согласно ст. 22.1 Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ лицо, ответственное за организацию обработки персональных данных, именуемого далее «работник ответственный за ОПД».
1.7.1. Работник ответственный за ОПД получает указания непосредственно от исполнительного органа Оператора и подотчетен ему.
1.7.2. Работник ответственный за ОПД вправе оформлять и подписывать уведомление, предусмотренное ч. 1 и 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".
1.8. Настоящее Положение и изменения к нему утверждаются приказом руководителя Оператора.
1.9. Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены под подпись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, с данным Положением и изменениями к нему. Обучение указанных работников организуется Работником ответственным за ОПД.
1.10. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".
1.11. Режим конфиденциальности персональных данных Оператор обеспечивает в соответствии с нормами действующего законодательства. Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, если иное не определено деи?ствующим законодательством.
1.12. Контроль за соблюдением сотрудниками Оператора требований законодательства Российской Федерации и положений локальных актов Оператора организован Работником ответственным за ОПД. Контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер.
1.13. Работник ответственный за ОПД так же осуществляет соблюдение Оператором требований законодательства Российской Федерации и положений локальных нормативных актов Оператора, организует оценку риска нарушения законодательства о персональных данных, и вреда, который может быть причинен субъектам обработки персональных данных в случае наращения законодательства.
1.14. Оценка вреда, в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Оператором требований Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", определяется в соответствии со ст. ст. 15, 151, 152, 1101 Гражданского кодекса Российской Федерации. Соотношение указанного вреда и принимаемых Оператором мер, направленных на предупреждение, недопущение и/или устранение его последствий, установлено в Положении о недопущении Оператором вреда при обработке персональных данных.
1.15. Опубликование или обеспечение иным образом неограниченного доступа к настоящему Положению, иным документам, определяющим политику Оператора в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных Оператор проводит в соответствии с требованиями действующего законодательства.
1.16. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего Оператору сайта в информационно-телекоммуникационной сети Интернет, с использованием которых осуществляется сбор персональных данных, настоящее Положение и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к настоящему Положению с использованием средств соответствующей информационно-телекоммуникационной сети.
1.17. Оператор обязан представить документы и локальные акты, указанные в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", и (или) иным образом подтвердить принятие мер, указанных в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", по запросу уполномоченного органа по защите прав субъектов персональных данных в течение 3 (трех) дней.
1.18. Условия обработки персональных данных Оператором:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
4) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
5) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
6) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
7) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
8) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом от 03.07.2016 № 230-ФЗ "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
9) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
10) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", при условии обязательного обезличивания персональных данных;
11) обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24.04.2020 № 123-ФЗ "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в ст. ст. 6 и 10 Федерального закона "О персональных данных", в порядке и на условиях, которые предусмотрены Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", и Федеральным законом от 31.07.2020 № 258-ФЗ "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации", в порядке и на условиях, которые предусмотрены указанными федеральными законами;
12) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
1.19. Оператор на основании договора может поручить обработку персональных данных третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку персональных данных, обязанность соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных".
1.20. Хранение персональных данных осуществляется в порядке, предусмотренном пунктом 4 настоящего Положения.
1.21. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в рамках законодательства Российской Федерации.
по обработке персональных данных
2.1. Обработку персональных данных организует ответственный сотрудник Оператора (далее – Работник ответственный за ОПД).
2.2. Работник ответственный за ОПД назначается приказом Руководителя (директора) Оператора.
2.3. Уровень квалификации Работника ответственного за ОПД, полномочия, функции, условия его допуска к персональным данным, порядок взаимодействия с другими структурными подразделениями Оператора, ответственность Работника ответственного за ОПД установлены в приказе о назначении Работника ответственного за ОПД.
2.4. Работник ответственный за ОПД:
1) доводит до сведения работников Оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
2) организует обработку персональных данных сотрудниками Оператора;
3) организует прием и обработку обращений и запросов субъектов персональных данных или их представителей.
4) осуществляет внутренний контроль за соблюдением Оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
5) контролирует прием и обработку обращений и запросов субъектов персональных данных или их представителей.
2.5. Ответственность за хранение и защиту персональных данных от неправомерного их использования или утраты должна быть обеспечена Оператором в порядке, установленном деи?ствующим законодательством, и возложена на Работника ответственного за ОПД.
2.6. Обработка персональных данных также осуществляется:
- автоматизированной системой - 1С;
2.7. Содержание персональных данных Оператора (в том числе в системе «1С») включает:
- персональный идентификатор;
-гражданство;
- фамилию, имя, отчество субъекта персональных данных;
-пол;
- дату и место рождения;
- вид документа, удостоверяющего личность субъекта персональных данных;
- серию и номер документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе;
- данные документа, удостоверяющего личность за пределами Российской Федерации;
- данные водительского удостоверения;
- адрес регистрации и адрес фактического проживания субъекта персональных данных;
- почтовый адрес субъекта персональных данных;
- контактный телефон, факс (при наличии) субъекта персональных данных;
- адрес электронной почты субъекта персональных данных;
- ИНН субъекта персональных данных;
- номер страхового свидетельства обязательного пенсионного страхования;
- реквизиты банковской карты, номер расчетного счета;
- номер лицевого счета;
- адрес места жительства (адрес постоянной регистрации, адрес временной регистрации, адрес фактического места жительства);
- семейное положение, состав семьи;
- данные документа, содержащиеся в свидетельстве о рождении субъекта ПД или его детей;
-социальное положение;
- сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);
- телефон субъекта персональных данных;
- сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
- отношение к воинскому учету и сведения о воинском учете (в том числе реквизиты документов воинского учета и иные персональные данные, необходимые для формирования и ведения учетного дела военнообязанного);
-специальный учет (состоит или нет);
- сведения, собираемые посредством метрических программ.
2.8. Сотруднику Оператора, имеющему право осуществлять обработку персональных данных, предоставляются уникальный логин и пароль для доступа к соответствующей информационной системе Оператора в установленном порядке. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными регламентами Оператора.
Информация может вноситься как в автоматическом режиме - при уточнении, извлечении, использовании и передаче на машиночитаемом носителе информации, так и в ручном режиме - при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
2.9. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах Оператора, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:
- использование простейшего класс средств криптографической защиты информации (СКЗИ): КС1
- определение актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах Оператора, необходимых для выполнения требований к защите персональных данных;
- применение процедур оценки соответствия средств защиты информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;
- учет машинных носителей персональных данных;
- обеспечение работоспособного функционирования компьютерной техники с персональными данными в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации;
- обнаружение и регистрация фактов несанкционированного доступа к персональным данным, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных и принятие мер;
- восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационных системах Оператора, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах Оператора;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем.
2.10. Меры по сохранности и конфиденциальности ПД обеспечивает так же Работник ответственный за ОПД, который:
- своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до Работника ответственного за ОПД;
- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- постоянный контроль за обеспечением уровня защищенности персональных данных;
- соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
- учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
- при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;
- разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
2.11. Работник ответственный за ОПД принимает все необходимые меры по восстановлению персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.
2.12. Обмен персональными данными при их обработке в информационных системах Оператора осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
2.13. В случае выявления нарушений порядка обработки персональных данных в информационных системах Оператора уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.
персональных данных
3.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.
3.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном гл. 3 и 4 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".
3.3. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в порядке ст. ст. 185 и 185.1 Гражданского кодекса Российской Федерации, ч. 2 ст. 53 Гражданского процессуального кодекса Российской Федерации или удостоверенной нотариально согласно ст. 59 Основ законодательства Российской Федерации о нотариате (утв. Верховным Советом Российской Федерации 11.02.1993 № 4462-1). Копия доверенности представителя, отснятая Работником ответственным за ОПД с оригинала, хранится Оператором не менее трех лет, а в случае, если срок хранения персональных данных больше трех лет, - не менее срока хранения персональных данных.
3.4. Сведения, указанные в ч. 7 ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", предоставляются субъекту персональных данных Работников ответственным за ОПД в доступной форме без персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных, в электронном виде. По требованию субъекта персональных данных они могут быть продублированы на бумаге. Доступная форма заверяется Работником ответственным за ОПД.
3.5. Сведения, указанные в ч. 7 ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", предоставляются субъекту персональных данных или его представителю Работником ответственным за ОПД в течение 10 (десяти) рабочих дней с момента обращения либо получения Оператором запроса субъекта персональных данных или его представителя.
Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
3.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
3.7. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Согласие может быть устным или письменным.
3.7.1. Индивидуальное устное общение с потенциальными потребителями или агитируемыми лицами производится по специально выделенной телефонной линии Оператора. При этом рабочее место сотрудника Оператора, которому поручено общение, обеспечивается техническими средствами, позволяющими в автоматизированном режиме вести регистрацию телефонных вызовов, а также (с согласия субъекта персональных данных) вести аудио переговоров. В данной ситуации аудиозапись полученного устного согласия является надлежащей.
3.7.2. Если документирование информации в виде аудиозаписи на цифровой диктофон или аудиокассету проводилось физическим лицом по собственной инициативе скрытно, а порой с целью искусственного создания доказательств, то данные доказательства признаются недопустимыми и не имеющими юридической силы на основании ч. 2 ст. 50 Конституции Российской Федерации.
3.7.3. Для письменного согласия достаточно простой письменной формы.
Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если Оператор не докажет, что такое согласие было получено.
3.8. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в ч. 1 ст. 15 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".
3.9. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами Российской Федерации, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3.10. Оператор обязан устно, а по письменному требованию субъекта персональных данных или его представителя - письменно, разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
3.10.1. Текст устного разъяснения Оператор составляет в письменном виде до начала автоматизированной обработки персональных данных и хранит не менее 3 (трех) лет.
3.10.2. В случае автоматизированной обработки персональных данных различными способами разъяснение готовится отдельно для каждого способа.
3.11. Оператор обязан рассмотреть возражение, указанное в ч. 3 ст. 16 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", в течение 30 (тридцати) дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
3.12. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту своего расположения в рабочее время.
3.13. Оператор в течение 30 (тридцать) дней с момента исправления или уничтожения персональных данных по требованию субъекта персональных данных или его представителя обязан уведомить его о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
Формы уведомлений, предусмотренных ч. 1, 4.1 и 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", устанавливаются уполномоченным органом по защите прав субъектов персональных данных.
3.14. При трансграничной передаче персональных данных их перевод на другие языки осуществляется в порядке, согласованном Оператором с иностранным контрагентом.
4.1. Цель обработки персональных данных определяет единоличный исполнительный орган Оператора. Цель обработки персональных данных утверждается приказом Оператора.
4.2. На основании заданной цели единоличный исполнительный орган Оператора определяет задачи, сроки, способы и условия обработки персональных данных, перечень причастных и ответственных лиц. Такие задачи, сроки, способы, условия, лица утверждаются распоряжением Оператора. По необходимости может быть назначено несколько Работников ответственных за ОПД.
4.3. Работник ответственный за ОПД обязан:
- организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых Оператором, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- осуществлять внутренний контроль за соблюдением его подчиненными требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
- доводить до сведения сотрудников Оператора положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки ПД, требований к защите персональных данных;
- организовать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов;
- в случае нарушения требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
4.4. Работник ответственный за ОПД вправе:
- иметь доступ к информации, касающейся порученной ему обработки персональных данных и включающей:
- цели обработки персональных данных;
- категории обрабатываемых персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- правовые основания обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых у Оператора способов обработки персональных данных;
- описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
- дату начала обработки персональных данных;
- срок или условия прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации;
- привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, иных сотрудников Оператора с возложением на них соответствующих обязанностей и закреплением ответственности.
4.5. В соответствии с поставленными целями и задачами накопление, хранение, уточнение (обновление, изменение) персональных данных осуществляются только Работниками ответственными за ОПД во взаимодействии с остальными работниками Оператора.
4.6. В соответствии с поставленными целями и задачами извлечение, использование, передача (распространение, предоставление, доступ) персональных данных осуществляются только Работниками ответственными за ОПД.
4.7. Сбор, обработка и хранение персональных Оператором:
4.7.1. Обработка персональных данных – действия с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных.
4.7.2. Субъект ОПД принимает решение о предоставлении своих персональных данных и дает на их обработку своей волеи? и в своих интересах. (Приложение №1).
4.7.3. Документы, содержащие персональные данные субъекта ОПД, создаются путем:
- внесения сведении? в утвержденные, а также учетные формы (в бумажном и электронном виде);
- копирования оригиналов документов; - получения оригиналов документов.
4.7.4. При передаче персональных данных субъекта ОПД работники Оператора должны соблюдать следующие правила:
- не сообщать персональные данные субъекта ОПД третьеи? стороне без его письменного согласия, за исключением следующих случаев: обработка персональных данных осуществляется в целях исполнения договора, однои? из сторон которого является субъект ОПД; обработка персональных данных осуществляется для статистических или иных научных целеи? при условии обязательного обезличивания персональных данных; обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов гражданина, если получение его согласия невозможно.
- предупредить лиц, получающих персональные данные субъекта ОПД о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Лица, получающие персональные данные граждан, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется в случае обезличивания персональных данных и в отношении общедоступных данных.
- разрешить доступ к персональным данным субъекта ОПД только уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные гражданина, которые необходимы для выполнения конкретных функции?.
4.7.5. Персональные данные субъекта ОПД хранятся в его личном деле или карточке учета. Персональные данные субъекта ОПД могут храниться как в бумажном, так и в электронном виде. Оператор хранит персональные данные субъекта ОПД на бумажном носителе в специально отведенных шкафах. Персональные данные в электронном виде заносятся в базу данных «1С» и обеспечиваются системои? парольнои? защиты. Персональные данные, подлежащие хранению более 3 лет на бумажных носителях, после истечения срока хранения сдаются в архив Оператора.
4.7.6. К обработке персональных данных субъекта ОПД могут иметь доступ только работники Оператора, допущенные к работе с персональными данными субъекта ОПД.
4.7.7. Право доступа к персональным данным субъекта ОПД имеют:
- директор Оператора;
- заместитель директора Оператора;
- специалисты по работе с кадрами и работники бухгалтерии;
-сотрудники юридической службы Оператора или нанятые им в целях оказания юридической помощи специалисты;
- сами субъекты ОПД ,как субъекты персональных данных;
- лица, допущенные к ПД приказом единоличного исполнительного органа Оператора.
4.8. Обезличивание, блокирование, удаление, уничтожение персональных данных осуществляются только Работниками ответственными за ОПД по следующей процедуре:
4.8.1. ОПД ежегодно осуществляется экспертиза ценности дел (документов), содержащих персональные данные, постоянного и временного сроков хранения. По результатам экспертизы ценности документов составляются описи дел постоянного, временного (свыше 10 (десяти) лет) хранения и по субъектному составу (включая описи электронных документов постоянного хранения) (далее - описи дел), а также акты о выделении к уничтожению документов (дел), не подлежащих хранению (включая акты о выделении электронных документов).
4.8.2. Описи дел и акты о выделении к уничтожению документов (дел), не подлежащих хранению, рассматриваются единоличным исполнительным органом на основании докладной записки и отчета Работника ответственного за ОПД.
4.8.3. Документы (дела), не подлежащие хранению и включенные в данные акты, уничтожаются в присутствии специальной комиссии, созданной специально для уничтожения документов. Обеспечение безопасности персональных данных при уничтожении достигается применением для уничтожения персональных данных, прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;
4.8.4. По окончании процедуры уничтожения структурным подразделением составляется акт об уничтожении документов, в учетных формах (номенклатурах дел, журналах) проставляется отметка об их уничтожении, пишется словами или проставляется штамп "Уничтожено. Акт (дата, №)", заверяется подписью членов специальной комиссии, гражданского служащего или работника, осуществляющего учет документов, содержащих персональные данные.
4.9.5. Уничтожение выделенных документов на бумажных носителях осуществляется с помощью бумагорезательной машины путем измельчения документов на куски, гарантирующего невозможность восстановления текста.
Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
при обработке персональных данных
с применением системы электронного взаимодействия
5.1. На основании двух- и многосторонних соглашений Оператор осуществляет обработку персональных данных в рамках электронного информационного взаимодействия с применением системы электронного взаимодействия (далее - СЭВ).
5.2. По согласованным регламентам Оператор в рамках СЭВ на основании поступивших запросов направляет информацию, включающую персональные данные субъектов, обрабатываемые Оператором.
5.3. По перечню, утвержденному приказом Оператора, Работники ответственные за ОПД в рамках СЭВ вправе направить запросы о предоставлении информации, включающей персональные данные субъектов.
5.4. Прекращение действия соглашения с другим оператором является основанием для уничтожения Оператором обработанных в рамках такого соглашения персональных данных.
6.1. Руководитель Оператора:
- оказывает содействие Работникам ответственным за ОПД в выполнении ими своих обязанностей;
- организует устранение выявленных нарушений законодательства Российской Федерации, нормативных правовых актов уполномоченного федерального органа исполнительной власти, внутренних документов Оператора, а также причин и условий, способствовавших совершению нарушения.
6.2. Сотрудники Оператора:
- оказывают содействие Работникам ответственным за ОПД в выполнении ими своих обязанностей;
- незамедлительно доводят до сведения своего непосредственного руководителя и Работника ответственного за ОПД (в части его компетенции) сведения о предполагаемых нарушениях законодательства Российской Федерации, в том числе нормативных правовых актов уполномоченного федерального органа исполнительной власти, и внутренних документов Оператора другими сотрудниками Оператора или контрагентами Оператора.
7.1. Внутренний контроль и аудит соответствия обработки Оператором персональных данных проводится в целях выявления и предотвращения нарушений законодательства Российской Федерации в области персональных данных.
7.2. Внутренний контроль подразделяется на плановый и внеплановый.
7.3. Плановый контроль при обработке персональных данных проводится не реже 1 раза в год на основании плана, утвержденного Приказом руководителя Оператора. Срок проведения планового внутреннего контроля составляет не более 10 рабочих дней.
7.4. Внеплановый контроль проводится на основании поступившего письменного или устного обращения от субъекта персональных данных о нарушении законодательства в области персональных данных. Внеплановый внутренний контроль должен быть завершен не позднее 30 дней со дня принятия решения о его проведении. О результатах внепланового внутреннего контроля информируется заинтересованное лицо.
7.5. Внутренний контроль проводится комиссией. В состав комиссии входят:
- директор;
- заместитель директора;
- главный бухгалтер;
- офис-менеджер.
7.6. Контроль осуществляется непосредственно на месте обработки персональных данных путем опроса либо при необходимости путем осмотра рабочих мест лиц, участвующих в процессе обработки персональных данных.
7.7. Результаты внутреннего контроля оформляются в виде Акта (Приложение № 2), подписываемого членами комиссии, который хранится в течении 3 (трех) лет и хранится Работником, ответственным за ОПД, в шкафу без доступа посторонних лиц.
7.8. При выявлении в ходе внутреннего контроля нарушений в справке отражаются перечень мероприятий по устранению нарушений и срок их исполнения.
7.9. В отношении персональных данных, ставших известными в ходе проведения внутреннего контроля лицам, ответственным за проведение внутреннего контроля, соблюдается конфиденциальность и обеспечивается безопасность при их обработке.
7.10. Внутренний аудит соответствия обработки персональных данных проводится в случаях, когда Оператор не может объективно оценить соответствие обработки персональных данных требованиям законодательства в сфере обработки персональных данных.
7.11. Внутренний аудит организуется на основании распорядительного акта руководителя Оператора.
7.12. Внутренний аудит проводит организация, которая в соответствии со своими учредительными документами занимается оценкой рисков в обработке персональных данных и возможного вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
7.13. На время проведения внутреннего аудита руководитель Оператора назначает ответственного сотрудника (Ответственный за аудит ОПД), который должен взаимодействовать с организацией, проводящей аудит (далее – аудитор). Работник ответственный за ОПД не может напрямую принимать участия в аудите и взаимодействовать с аудитором.
7.14. Ответственный за аудит ОПД обязан: обеспечить аудитора всей необходимой информацией; организовать условия для работы; оказывать помощь при возникновении трудностей; контролировать работу аудитора; принимать все отчеты аудитора и доводить их до сведения руководителя Оператора.
7.15. Действия и обязанности аудитора определяются заключенным договором оказания услуг по проведению внутреннего аудита.
7.18. Документы внутреннего аудита, в том числе итоговые отчеты, хранятся в запирающемся шкафу в кабинете заместителя руководителя Оператора.
или неисполнение настоящего положения
8.1. Контроль за исполнением Положения возложен на Работника ответственного за ОПД.
8.2. Лица, нарушающие или не исполняющие требования Положения, привлекаются к дисциплинарной, административной (ст. ст. 5.39, 13.11 - 13.14, 19.7 Кодекса Российской Федерации об административных правонарушениях) или уголовной ответственности (ст. ст. 137, 140, 272 Уголовного кодекса Российской Федерации).
8.3. Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчиненными.
Приложения:
Оператором требованиям законодательства в сфере обработки персональных данных.