УТВЕРЖДАЮ
На основании приказа
№ 5 от 04 февраля 2020 г.
Индивидуальный предприниматель
____________________ В.В. Капустин
Положение: «Обработки и защиты персональных данных»
Положение «Обработки и защиты персональных данных» ИП Капустина В.В. (далее по тексту - ИП) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных.
Положение «Обработки и защиты персональных данных» ИП (далее по тексту - Положение) разработано в соответствии с ФЗ от 27.07.2006. № 152 ФЗ «О персональных данных» (далее по тексту просто ФЗ№152), Трудовым кодексом РФ (далее по тексту – ТК РФ), а также «Перечнем сведений конфиденциального характера», которые были утверждены Указом Президента РФ от 06.03.1997№188.
Положение определяет политику ИП Капустина В.В., осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.
Положение задаёт порядок обработки персональных сведений и устанавливает необходимые требования общего характера к обеспечению безопасности персональных данных, обрабатываемых ИП (далее по тексту просто Оператор), как с использованием средств для автоматической обработки информации, так использования этих средств.
Обработка персональных данных ИП осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством Российской Федерации в области персональных данных.
В Положении предусмотрены следующие понятия:
невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Персональные данные работников ИП, граждан, претендующих на должность у ИП, обрабатываются в целях обеспечения кадровой работы.
У ИП осуществляется обработка ПДн следующих категорий работников:
В целях, настоящего Положения, обрабатываются следующие категории персональных данных работников ИП, а также граждан, претендующих на должность:
Обработка персональных данных работников ИП, граждан, претендующих на должность в ИП, осуществляется при условии получения согласия указанных лиц в следующих случаях:
Обработка персональных данных работников ИП, граждан, претендующих на должность работников ИП, осуществляется ИП Капустиным В.В. и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
В случаях, предусмотренных настоящим Положением, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом "О персональных данных".
Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных работников ИП, граждан, претендующих на замещение должностей работников ИП, осуществляется путем:
Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от работников ИП, граждан, претендующих на замещение должностей ИП.
Передача (распространение, предоставление) и использование персональных данных работников ИП, граждан, претендующих на замещение должностей в ИП, осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.
Запрещается получать, обрабатывать следующие данные работников ИП и граждан, претендующих на замещение должностей в ИП: данные касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
В ИП обработка персональных данных физических лиц осуществляется в целях предоставления услуг.
У ИП осуществляется обработка ПДн следующих категорий Субъектов:
В рамках рассмотрения обращений граждан подлежат обработке следующие персональные данные заявителей:
Обработка персональных данных осуществляется на автоматизированных рабочих местах сотрудников ИП.
Информационная система персональных данных ИП содержит персональные данные сотрудников ИП и субъектов (Пользователей).
Информация может вноситься как в автоматическом режиме, при получении персональных данных с сайта ИП, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
Классификация информационных систем персональных данных, указанных в Положении, осуществляется в порядке, установленном законодательством Российской Федерации. Работникам, имеющим право осуществлять обработку Персональных данных в информационных системах, предоставляется доступ к прикладным программным подсистемам.
Обеспечение безопасности персональных данных, обрабатываемых ИП, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:
Обмен персональными данными при их обработке в информационных системах персональных данных осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
ИП и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия Субъекта ПДн, за исключением случаев, предусмотренных действующим законодательством.
Субъекты, ПДн которых обрабатываются ИП, имеют право получить информацию относительно ПДн, обрабатываемых ИП, в объеме, предусмотренном ФЗ РФ «О персональных данных»
Требовать извещения ИП всех лиц, которым ранее были сообщены неверные или неполные ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях.
Обжаловать в уполномоченный орган по защите прав Субъектов ПДн или в судебном порядке неправомерные действия или бездействия ИП при обработке и защите его ПДн.
Требовать от ИП уточнения, исключения или исправления неполных, неверных, устаревших, неточных, незаконно полученных, или не являющихся необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Срок обработки ПДн, обрабатываемых ИП, определяется организационно -распорядительными документами ИП в соответствии с положениями ФЗ РФ «О персональных данных».
Персональные данные, срок обработки которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом.
Сроки обработки ПДн определяются в соответствии со сроком действия договора с субъектом ПДн, приказом Минкультуры РФ от 25.08.2010 No 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроками исковой давности, а также иными сроками, установленными законодательством РФ и организационно-распорядительными документами ИП.
Передача персональных данных работниками Оператора третьему лицу может выполняться только в ситуации, когда субъект предоставил письменное соглашение на выполнение данного действия, если иное не предусмотрено федеральным законодательством.
Передача (распространение, предоставление) и использование персональных данных Пользователей (субъектов персональных данных) осуществляется только в случаях и в порядке, предусмотренных федеральными законами.
Передача персональных сведений о субъектах между подразделениями оператора должна выполняться только между работниками, которые были допущены к обработке персональных данных.
ИП в ходе своей деятельности может предоставлять персональные данные субъектов третьим лицам в соответствии с требованиями законодательства РФ либо с согласия субъекта персональных данных. При этом обязательным условием предоставления персональных данных третьему лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.
Если персональные данные были переданы 3-м лицам, то с третьим лицом должно быть подписано специальное Соглашение, в котором указывается о соблюдении безопасности персональных данных, которые были переданы на совершение обработки. Форма рассматриваемого Соглашения должна быть утверждена приказом руководителя Оператора.
Уничтожение (обезличивание) ПДн Субъекта производится в следующих случаях:
более не требуется для целей Обработки ПДн, в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект ПДн, иным соглашением между ИП и Субъектом ПДн либо если ИП не вправе осуществлять Обработку ПДн без согласия Субъекта ПДн на основаниях, предусмотренных федеральными законами РФ;
рабочих дней с момента выявления неправомерной обработки ПДн;
законодательством РФ и организационно-распорядительными документами ИП;
срок, не превышающий тридцати дней с момента достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект ПДн, иным соглашением между ИП и Субъектом ПДн либо если ИП не вправе осуществлять обработку ПДн без согласия Субъекта ПДн на основаниях,
предусмотренных федеральными законами РФ;
Прокуратуры России или решения суда.
При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн и при необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию. Уничтожение части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
10. Ответственность за нарушение норм, регулирующих обработку персональных данных
ИП и/или Работники ИП, виновные в нарушении требований законодательства РФ о персональных данных, а также положений настоящей Политики, несут предусмотренную законодательством Российской Федерации ответственность.
11. Заключительные положения
Права и обязанности работников Оператора, не указанные в Положении, представленном выше, определяются Инструкцией пользователя информационных систем персональных данных.
Работник, обладающий доступом к персональным данным и сделавший дисциплинарный проступок, несёт полную материальную ответственность в том случае, если его совершёнными действиями был причинён ущерб работодателю (п. 7 ст. 243 ТК РФ). Работники Операторы, которые обладают доступом к персональным данным, в том случае когда они виновны в их незаконном разглашении или применении без согласия субъектов персональных данных из корыстной или иной личной выгоды и причинившие крупный ущерб, подвержены уголовной ответственности в соответствии со ст. 183 Уголовного кодекса РФ.
Обновление данного положения производится в соответствии с Регламентом по выполнению контрольных мероприятий и реагированию на инциденты, возникшие в сфере информационной безопасности.
Такие действия как разглашение персональных данных, публичное раскрытие персональных данных, а также утрата документации и иных носителей, которые содержат персональные данные, а также другие нарушение не приведённые выше, но влекущие нарушения в обработке и защите персональных данных, влечёт на сотрудника обладающего доступом к персональным данным, различные формы дисциплинарного взыскания: замечание, выговор или увольнение.
Лица, нарушившие установленные нормы выполнения работ с персональными данными, которые регулируют обработку и защиту персональных данных несут материальную, административную, дисциплинарную, гражданско-правовую или уголовную ответственность в порядке, который был установлен ФЗ.