БЕСПЛАТНАЯ ДОСТАВКА ПО МОСКВЕ ПРИ ЗАКАЗЕ ОТ 4500Р
Это ваш город: Сиэтл?
Меню
БЕСПЛАТНАЯ ДОСТАВКА ПО МОСКВЕ ПРИ ЗАКАЗЕ ОТ 4500Р

ПОЛОЖЕНИЕ  ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ


ПОЛОЖЕНИЕ 

ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Москва, 2015

Содержание

Термины и сокращения

  1. Общие положения

    1. Положение об обработке персональных данных ИП Романова О.А.(далее - Положение) разработано на основании требований Федерального закона Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных».
    2. Настоящее Положение определяет порядок обработки персональных данных работников и клиентов, а так же права, обязанности и ответственность должностных лиц ИП Романова О.А.(далее - Компания). 
    3. Положение является внутренним нормативным документом, регламентирующим деятельность Компании в сфере обработки ПДн. Требования Положения обязательны для выполнения всеми работниками Компании, которые допущены к работе с ПДн.
    4. Настоящее Положение разработано в целях соблюдения законодательства в области ПДн, сохранения неприкосновенности частной, личной и семейной тайны, защиты от НСД и разглашения ПДн, обрабатываемых Компанией.
    5. Положение подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке персональных данных или существенному изменению процессов обработки ПДн в Компании.
    6. Все работники Компании, обрабатывающие ПДн, должны быть ознакомлены с настоящим Положением под подпись.
    7. Настоящее Положение утверждается и вводится в действие приказом Генерального директора Компании.

  1. Область действия

    1. Настоящее Положение является обязательными для исполнения всеми сотрудниками Компании,  имеющими доступ к обрабатываемым в Компании ПДн.
  1. Нормативные ссылки

    1. Настоящее Положение разработано на основе следующих законодательных актов РФ и нормативных документов в области ПДн:
      1. Конституция Российской Федерации.
      2. Федеральный Закон РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».
      3. Федеральный Закон РФ от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
      4. Трудовой кодекс Российской Федерации.
      5. Указ Президента РФ от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера».
      6. Постановление Правительства от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
      7. Постановление Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

  1. Понятие ПДн и цели обработки

    1. ПДн – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
    2. Субъектами ПДн, обработка ПДн которых осуществляется Компанией, являются:
      1. Кандидаты на замещение вакантных должностей в Компании;
      2. Работники Компании заключившие с Компанией трудовой договор;
      3. Клиенты Компании (заявители), заключившие с Компанией агентский договор по представлению документов, необходимых для оформления виз для туристических и иных поездок, в Консульство иностранного государства. Клиентами могут выступать физические лица, состоящие в договорных отношениях с Компанией, либо физические лица, являющиеся представителями юридических лиц, состоящих в договорных отношениях с Компанией;
      4. Контрагенты (физические лица, в том числе являющиеся индивидуальными предпринимателями, физические лица – представители юридических лиц, являющиеся контрагентами, субподрядными организациями, иными третьими лицами, привлекаемыми контрагентами);
      5. Посетители.
    3. Целью обработки ПДн кандидатов на вакантные должности является рассмотрение вопроса о приеме на работу в Компанию, заключение трудового договора.
    4. Целями получения и обработки ПДн работников являются ведение кадрового учета, начисление заработной платы, расчет налоговых и пенсионных отчислений, предоставление обязательной отчетности в налоговые органы и фонды социального страхования в соответствии с требованиями законодательства РФ, организация учета персонала Компании, обеспечение соблюдения законов и иных нормативно-правовых актов, содействие работнику в трудоустройстве, обучении, продвижении по службе, получение различного вида льгот в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования».
    5. Целью получения и обработки ПДн  клиентов является выполнение поручения физических лиц, основанных на заключенном агентском договоре с Компанией, обращающихся за въездной визой в иностранные государства, по передаче пакетов документов и данных таких лиц в Дипломатические представительства иностранных государств для получения данными лицами виз.
    6. Целью обработки ПДн контрагентов (физических лиц, в том числе индивидуальных предпринимателей, представителей юридических лиц) является организация и проведение процедур закупки товаров, работ, услуг, осуществление процедуры выбора контрагента, заключение и исполнение гражданско-правовых договоров в соответствии с Гражданским кодексом Российской Федерации иными нормативными правовыми актами и локальными нормативными актами Компании.
    7. Целью обработки ПДн посетителей является соблюдение пропускного режима в целях обеспечения безопасности проведения деловых встреч и переговоров на территории Компании.
    8. При определении объема и содержания, обрабатываемых ПДн субъектов, Компания должна руководствуется целям получения и обработки ПДн.
    9. Ресурсы, содержащие ПДн субъектов, создаются путём:
      1. копирования оригиналов документов, содержащих ПДн (например, паспорт, страховое свидетельство государственного пенсионного страхования);
      2. внесения сведений в учётные формы на бумажных носителях (личная карточка по форме Т-2); 
      3. внесения сведений в базы данных;
      4. получения оригиналов необходимых документов (трудовая книжка, автобиография, анкета, заявления).
    10. Состав обрабатываемых ПДн субъектов утверждается приказом Компании «О введении в действие перечня обрабатываемых персональных данных, перечня информационных систем персональных данных и перечня должностных лиц, допущенных к работе с персональными данными».

  1. Права и обязанности Компании

    1. Обработка ПДн осуществляется с согласия субъекта ПДн. Компания обязана разъяснить субъекту ПДн последствия отказа предоставить свои персональные данные.
    2. Согласие субъекта ПДн на обработку ПДн не требуется в случаях, предусмотренных частью 2 статьи 6 ФЗ «О персональных данных».
    3. Компания обеспечивает конфиденциальность ПДн, за исключением случаев обезличивания и в отношении общедоступных ПДн.
    4. Компания безвозмездно предоставляет субъекту возможность ознакомления с его ПДн по его просьбе (письменному запросу), а также информацию, касающуюся обработки его ПДн. 
    5. В случае отзыва субъектом согласия на обработку своих ПДн Компания прекращает обработку ПДн и уничтожает ПДн в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. 
    6. В случае выявления неточных  ПДн или неправомерных действий с ними при обращении субъекта ПДн, Компания блокирует ПДн с момента такого обращения.
    7. В случае подтверждения факта неточности ПДн субъекта, Компания обязана уточнить ПДн в течение семи рабочих дней и снять их блокирование.
    8. В случае выявления неправомерных действий с ПДн Компания обязана устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Компания обязана уничтожить ПДн в срок не превышающий десять рабочих дней. 
    9. Об устранении допущенных нарушений или об уничтожении ПДн Компания обязана уведомить субъекта ПДн, а также тех лиц, которым ПДн этого субъекта были переданы.
    10. В случае достижения цели обработки ПДн Компания прекращает обработку ПДн и уничтожает ПДн в срок, не превышающий тридцати дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого является субъект ПДн или федеральными законами.

  1. Права субъектов ПДн

    1. Субъекты ПДн принимают решение о предоставлении своих ПДн и дают согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 статьи 9 ФЗ «О персональных данных». 
    2. Субъект ПДн может отозвать согласие на обработку ПДн. 
    3. Субъекты ПДн имеют право на получение сведений о Компании, о месте ее нахождения, о наличии своих ПДн, а также на ознакомление с такими ПДн.
    4. Субъекты ПДн имеют право на получение сведений, касающихся обработки своих ПДн. 
    5. Субъекты ПДн имеют право требовать исключения или исправления неверных или неполных ПДн, а также данных, обработанных с нарушением требований законодательства. 
    6. Субъекты ПДн имеют право требовать от Компании извещать всех лиц, которым ранее были сообщены неверные или неполные ПДн, обо всех произведенных исключениях, исправлениях или дополнениях в указанных сведениях.
    7. Субъекты ПДн имеют право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. Субъекты ПДн имеют право обжаловать в суде любые неправомерные действия или бездействие Компании при обработке и защите его ПДн.

  1. Порядок сбора ПДн

    1. Получение ПДн осуществляется путем предоставления их самим субъектом ПДн, либо его законным представителем
    2. При сборе ПДн Компания обязана предоставить субъекту ПДн по его просьбе информацию о:
      1. правовом основании и цели обработки ПДн;
      2. цели и применяемые Компанией способы обработки ПДн;
      3. сведения о лицах (за исключением работников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора или на основании федерального закона;
      4. сроках обработки ПДн, в том числе сроки их хранения;
      5. порядке осуществления субъектом персональных прав, предусмотренных Федеральным законом №152;
      6. информацию о возможностях трансграничной передачи ПДн;
    3. Если ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом заранее и от него должно быть получено согласие, в котором указываются: цель, предполагаемые источники и способы получения ПДн, а также сведения о характере подлежащих получению ПДн  и последствиях отказа дать письменное согласие на получение ПДн.
    4. Компания не собирает и не обрабатывает ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта ПДн. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации Компания вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

  1. Порядок сбора ПДн кандидатов

    1. Обработка ПДн Кандидатов на замещение вакантных должностей происходит только по согласию субъекта.
    2. В случае если резюме кандидата получено по сетям общего пользования работник

Компании связываются с кандидатом для приглашения его на собеседование. В противном случае такое резюме должно быть уничтожено.

    1. Компания не ведет кадровый резерв ПДн кандидатов, не ставших работникам
    2. Компании уничтожается специалистом по подбору персонала в течение месяца.

  1. Порядок сбора ПДн работников Компании

    1. При приеме на работу работник предоставляет необходимый перечень документов для заключения трудового договора и заполнения личного дела.
    2. Объем ПДн предоставляемых работником определен ТК РФ.
    3. Работник дает письменное согласие на обработку и передачу своих ПДн  при приеме на работу. 
    4. Личное дело работника оформляется после заключения с ним трудового договора и издания приказа о приеме на работу. Все документы личного дела подшиваются в обложку установленного образца. На ней указываются фамилия, имя, отчество работника, номер личного дела. Все документы, поступающие в личное дело, располагаются в хронологическом порядке. Листы документов, подшитых в личное дело, нумеруются. Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами. Личное дело считается завершенным при увольнении работника и сдается в архив на хранение.

  1. Порядок сбора ПДн клиентов

    1. Клиент предоставляет Компании ПДн, объем и характер которых соответствует целям получения и обработки ПДн в Компании. Компания начинает обработку ПДн клиента только после получения от него согласия. Обработка ПДн клиентов не в целях выполнения договора запрещена.

  1. Порядок сбора ПДн Контрагентов

    1. Обработка ПДн о контрагенте, его представителе, учредителе, бенефициаре (фамилия, имя, отчество контрагента или иного лица, уполномоченного на взаимодействие с Компанией по вопросу заключения или исполнения договора либо на подписание договора, учредителя, конечного бенефициара, их место жительства, телефон, иные персональные данные) осуществляется без согласия субъектов ПДн.
      1. Для исполнения гражданско-правового договора, контрагент (юридическое лицо) может предоставлять ПДн работников организации (представителей контрагента), с целью оформления Компании доверенностей и иных документов, необходимых в процессе выполнения работ по договору. Обязанность получения согласия на передачу и обработку персональных данных возлагается на контрагента.

  1. Порядок сбора ПДн Поситителей

    1. Посетитель предоставляет Компании ПДн, объем и характер которых соответствует целям получения и обработки ПДн в Компании. ПДн посетителей записываются в Журнал учета посетителей (Приложение 5 к Положению.) Обработка ПДн посетителей осуществляется не автоматизированным способом.

  1. Порядок передачи ПДн

    1. Передача ПДн третьим лицам возможна только с согласия субъекта ПДн. В согласии субъекта ПДн должна быть указано третье лицо, которому передаются ПДн, а также цель передачи и обработки ПДн.
    2. При передаче ПДн третьим лицам, которые на основании договоров осуществляют обработку ПДн, в порядке, установленном законодательством РФ, Компания ограничивает эту информацию только теми ПДн, которые необходимы для выполнения указанными лицами их функций (услуг, работ).
    3. Компания вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку ПДн по поручению Компании, обязано соблюдать принципы и правила обработки ПДн, предусмотренные настоящим Положением. В поручении должны быть определены перечень действий с ПДн, которые будут совершаться лицом, осуществляющим обработку и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 ФЗ «О персональных данных».
    4. В целях выполнения обязательств по агентскому договору между Компанией и физическими лицами, Компания осуществляет трансграничную передачу ПДн клиентов.
    5. Компания предоставляет (передает) сведения, содержащие ПДн работников в Пенсионный фонд РФ и в Федеральную налоговую службу по телекоммуникационным каналам связи и, в соответствии с требованиями законодательства, используя криптографические средства для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн. 
    6. Доступ к ПДн Компании обеспечивается только тем сотрудникам, которые допущены к работе с ПДн.
    7. Передача ПДн работнику возможна только по письменному заявлению работника. Компания обязана не позднее трех рабочих дней со дня подачи этого заявления выдать работнику копии документов, связанных с работой (копии приказа о приеме на работу, приказов о переводах на другую работу, приказа об увольнении с работы; выписки из трудовой книжки; справки о заработной плате, о начисленных и фактически уплаченных страховых взносах на обязательное пенсионное страхование, о периоде работы у данного работодателя и другое). Копии документов, связанных с работой, должны быть заверены надлежащим образом и предоставляться работнику безвозмездно.
    8. Передача (распространение) информации, содержащей ПДн клиентов, осуществляется в закрытом виде (в запечатанных конвертах) или иным способом, обеспечивающим конфиденциальность.

  1. Доступ к ПДн

    1. Предоставление доступа должностным лицам Компании
      1. Доступ к ПДн, подлежащим автоматизированной и неавтоматизированной обработке, разрешается только работникам, допущенным к обработке ПДн в соответствии с Перечнем должностных лиц, допущенным к работе с ПДн ООО «Интерштамп». При этом, указанным лицам предоставляется доступ только к ПДн, необходимым для выполнения служебных обязанностей.
      2. Все изменения, дополнения, вносимые в Перечень должностных лиц, допущенных к работе с ПДн, утверждаются Приказом генерального директора. 
      3. Работники Компании, получившие доступ к ПДн, принимают обязательства по обеспечению конфиденциальности обрабатываемых ПДн, которые определены:
  • трудовым договором;
  • обязательством о неразглашении конфиденциальной информации (ПДн);
  • должностными инструкциями в части обеспечения безопасности ПДн.
      1. Доступ работников к информационным системам и связанным с их использованием работам (операциям с ПДн) осуществляется в соответствии с требованиями Регламента предоставления доступа к ИСПДн.
      2. Доступ работников к материальным носителям ПДн и местам их хранения определяется в соответствии с Перечнем мест хранения материальных носителей персональных данных.
    1. Предоставление ПДн органам государственной власти
      1. Доступ ПДн органам государственной власти предоставляется в следующих случаях, предусмотренных федеральными законами:
  • в целях предупреждения угрозы жизни и здоровья субъекта ПДн;
  • в целях защиты основ конституционного строя, нравственности, прав и законных интересов других лиц;
  • в целях обеспечения обороны страны и безопасности государства, в том числе при поступлении официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях».

  1. Порядок учета, хранения и уничтожения ПДн

    1. Компания устанавливает особый режим хранения ПДн: 
      1. Обеспечивается раздельное хранение ПДн, обработка которых осуществляется в различных целях, в соответствии с Перечнем мест хранения материальных носителей.
      2. На все указанные места хранения распространяются следующие правила:
    2. персональные данные, содержащиеся на бумажных носителях, хранятся в запираемом шкафу или в сейфе.
    3. ключи от запираемых шкафов выдаются только уполномоченным лицам.
      1. Обеспечивается учет материальных носителей ПДн и выдачи материальных носителей Пдн, которые учитываются в Журнале учета носителей конфиденциальной информации (Приложение 2).
    4. Работникам запрещается оставлять на рабочем столе документы, содержащие ПДн, если в данный момент они с ними не работают. Исполняемые документы не разрешается хранить в виде отдельных листов, они должны быть сформированы в папки, на которых указывается вид производимых с ними действий (подшивка в личные дела, для отправки и пр.).
    5. Материальные носители ПДн должны быть уничтожены после достижения целей обработки ПДн и/или по истечении срока хранения персональных данных. Форма Акта уничтожения носителей ПДн приведена в Приложении 3 к Положению.

  1. Проверки регулирующими органами

    1. В соответствии с требованиями 152-ФЗ «О персональных данных», уполномоченный орган по защите прав субъектов ПДн может проводить проверки Компании на предмет выполнения требования законодательства. 
    2. В соответствии с требованиями ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора), муниципального контроля» проверки проводятся в соответствии с утвержденными административными регламентами.
    3. Информация о порядке проведения проверок предоставляется: 
      1. посредством размещения на официальном сайте Роскомназдора в сети общего доступа Интернет;
      2. непосредственно в центральном аппарате Роскомназдора и ее территориальных органах.
    4. Срок проведения, как плановой, так и внеплановой проверки не может превышать двадцать рабочих дней. В исключительных случаях, связанных с необходимостью проведения сложных и (или) длительных исследований, испытаний, специальных экспертиз и расследований на основании мотивированных предложений должностных лиц Роскомнадзора или его территориального органа, проводящих выездную плановую проверку, срок проведения выездной плановой проверки может быть продлен руководителем Роскомнадзора или руководителем территориального органа Роскомнадзора, но не более чем на двадцать рабочих дней.
    5. Вопросы обеспечения безопасности ПДн при их обработке в ИСПДн, а также требований к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИСПДн находятся в компетенции Федеральной службы безопасности Российской Федерации, Федеральной службы по техническому и экспортному контролю.
    6. Внеплановые проверки могут проводятся по следующим основаниям:
      1. истечение срока исполнения Компанией ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства Российской Федерации в области персональных данных. 
      2. поступление в Роскомнадзор или ее территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о следующих фактах:
      3. возникновение угрозы причинения вреда жизни, здоровью граждан;
      4. причинение вреда жизни, здоровью граждан;
      5. нарушение прав потребителей (в случае поступления в адрес Роскомнадзора или ее территориального органа обращений и заявлений граждан и (или) юридических лиц по вопросам, связанным с нарушением прав потребителей при предоставлении Компанией услуги, в рамках которой осуществляется обработка ПДн). 
    7. О проведении внеплановой выездной проверки Компания уведомляется Роскомнадзор или его территориальным органом не менее чем за двадцать четыре часа до начала ее проведения любым доступным способом. Если в результате деятельности Компании причинен или причиняется вред жизни, здоровью граждан, предварительное уведомление Компании о начале проведения внеплановой выездной проверки не требуется.
    8. При проведении проверки (плановой или внеплановой) от Компании назначается ответственный за сопровождение проверки. Ответственный является официальным представителем Компании при проведении проверок.
    9. Все проверки Компании по вопросам обработки и защиты ПДн должны учитываться в Журнале учета проверок, проводимых органами государственного контроля (надзора) (Приложение 4).

  1. Ответственность

    1. В Компании назначается лицо, ответственное за организацию обработки персональных данных.
    2. Ответственный за организацию обработки ПДн, получает указания непосредственно от генерального директора, и подотчетен ему.
    3. Ответственный за организацию обработки персональных данных, обязан:
      1. осуществлять внутренний контроль за соблюдением Компанией и ее работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
      2. доводить до сведения работников Компании положения законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
      3. организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и осуществлять контроль за приемом и обработкой таких обращений и запросов.

  1. Ответственность за обеспечение безопасности ПДн

    1. Лица (Работники, представители Компании, Компания), виновные в нарушении нормативных правовых актов и внутренних актов Компании, регулирующих обработку и защиту ПДн Работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
    2. Компания, как владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения, реализующая полномочия владения, пользования, распоряжения конфиденциальной информацией в пределах, установленных законом, несет ответственность перед субъектами ПДн в случае причинения им имущественного и морального вреда. 

  1. Ответственность за нарушение требований настоящего Положения

    1. Руководители структурных подразделений Компании несут ответственность за доведение до сотрудников настоящего Положения (под подпись) и обеспечение его соблюдения в подразделениях.
    2. Сотрудники Компании несут персональную ответственность за соблюдение настоящего Положения.
    3. Сотрудники Компании несут ответственность по действующему законодательству Российской Федерации за разглашение сведений, составляющих ПДн, ставших известными им случайно или по роду работы.

Приложение 1 к Положению 

«Об обработке персональных данных ИП Романова О.А.»

Лист ознакомления