УТВЕРЖДЕНО
Приказом № 42/23
от » 05 » июня 2023 г.
Положение об обработке и защите персональных данных клиентов, работников, контрагентов
1. Общие положения
1.1 Настоящее положение об обработке и защите персональных данных клиентов, работников и контрагентов (далее – «Положение») индивидуального предпринимателя Катковой Натальи Викторовны (ОГРНИП 319440100016150, ИНН 440120719548) (далее также – «ИП» и «Оператор», соответственно) является локальным нормативным актом, принятым в соответствии с Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных», Правилами внутреннего трудового распорядка.
1.2. Цель разработки Положения — определение порядка обработки персональных данных работников ИП и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина, в т.ч. работника ИП, при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3. Порядок ввода в действие и изменения Положения.
1.3.1. Настоящее Положение вступает в силу с момента его утверждения и действует бессрочно, до замены его новым Положением.
1.3.2. Все изменения в Положение вносятся приказом ИП Каткова Наталья Викторовна.
1.3.3. ИП периодически актуализирует настоящее Положение и вправе в одностороннем порядке в любой момент изменить его условия.
1.4. Действие Положения распространяется на все персональные данные субъектов, обрабатываемые в ИП с применением средств автоматизации и без применения таких средств.
1.5. Все работники ИП должны быть ознакомлены с настоящим Положением под роспись.
1.6. К настоящему Положению имеет доступ любой субъект персональных данных, в том числе с использованием сети «Интернет»
1.7. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии ИП, если иное не определено законом.
1.8. В Положении используются термины и определения в соответствии с их значениями, определенными в Законе о персональных данных. Основные понятия, используемые в Положении:
— Оператор – Индивидуальный предприниматель Каткова Наталья Викторовна (ОГРНИП 319440100016150, ИНН 440120719548).
— Клиент — физическое лицо, потребитель услуг, предоставляемых ИП, субъект персональных данных;
— Работник, сотрудник – физическое лицо, вступившее с ИП в трудовые отношения, субъект персональных данных;
— Соискатель – физическое лицо, претендующее на замещение вакантных должностей, намеревающееся вступить в трудовые отношения с ИП, субъект персональных данных.
— Уволенный сотрудник – физическое лицо, прекратившее трудовые отношения с ИП, субъект персональных данных.
— Обработчик — любое лицо, которое на основании договора с оператором осуществляет обработку персональных данных по поручению такого оператора, действуя от имени и (или) в интересах последнего при обработке персональных данных. Оператор несет ответственность перед субъектом персональных данных за действия или бездействия обработчика. Обработчик несет ответственность перед оператором.
— Услуги — действия Оператора, обусловленные условиями заключенного с клиентом договора об оказании услуг;
— Персональные данные — информация, сохраненная в любом формате, относящаяся к определенному или определяемому на основании такой информации
физическому лицу (субъекту персональных данных), которая сама по себе или в сочетании с другой информацией, имеющейся в распоряжении Оператора, позволяет идентифицировать личность Клиента и/или Сотрудника (Соискателя, Уволенного сотрудника);
— Информационная система персональных данных – информационная система,
представляющая собой совокупность персональных данных, содержащихся в базе данных,
а также информационных технологий и технических средств, позволяющих осуществлять
обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
— Обработка персональных данных — сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных.
— Передача персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц;
— Распространение персональных данных – действия, направленные на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
— Использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
— Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
— Защита персональных данных – комплекс мер технического, организационного и организационно-технического, правового характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных);
— Блокирование персональных данных -временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных работников, в том числе их передачи;
— Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных работников и (или) в результате которых уничтожаются материальные носители персональных данных;
— Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
— Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
— Информация — сведения (сообщения, данные), независимо от формы их представления;
— Документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель;
— Персональные данные работника – — любая информация, относящаяся к определенному или определяемому на основании такой информации работнику, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая работодателю в связи с трудовыми отношениями;
2. Категории субъектов персональных данных
2.1 К субъектам, персональные данные которых обрабатываются в ИП в соответствии с Положением, относятся:
— работники ИП;
— близкие родственники работников ИП;
— клиенты ИП;
— соискатели ИП;
— работники, прекратившие трудовую деятельность в ИП;
— контрагенты ИП, представители контрагентов ИП;
— участники конкурсов, акций ИП.
— пользователи веб-сайта и иных онлайн-сервисов ИП
— иные лица, персональные данные которых Оператор обязан обрабатывать в соответствии с законодательством Российской Федерации.
3. Цели обработки персональных данных
3.1 Целями обработки персональных данных Оператором являются:
— выполнение требований законодательства по определению порядка обработки и защиты данных физических лиц, являющихся клиентами или контрагентами Оператора, заполнению первичной статистической документации;
— осуществление прав и законных интересов ИП в рамках осуществления видов деятельности, предусмотренных Свидетельством ОГРН и иными локальными нормативными актами ИП;
— исполнение обязанностей по договору оказания услуг, одной из сторон которого является субъект персональных данных;
— содействия работникам в трудоустройстве, обучение и продвижении по службе;
— обеспечение сохранности имущества.
— для осуществления ИП предпринимательской деятельности в области электронной коммерции и путем самостоятельной продажи товаров/оказания услуг дистанционным способом, в т.ч. с использованием сети «Интернет»;
— оказания сопутствующих логистических услуг (организация доставки товаров и осуществление складских операций), а также иной обычной хозяйственной деятельности как юридического лица, в т.ч. путем рекламирования себя, своих прордуктов и услуг, контроля качества использования своих сервисов и услуг третьими лицами, организации пропускного и внутриобъектового режимов, обеспечения безопасности посетителей, в том числе работников на своей территории, взаимодействия с субъектами персональных данных, контрагентами и третьими лицами, в соответствии с действующим законодательством РФ, внутренними документами и локальными нормативными актами ИП.
— для заключения и исполнения договоров с участием субъектов персональных данных в качестве сторон, выгодоприобретателей или поручителей по таким договорам, включая, но не ограничиваясь, предоставление возможности использовать услуги и продукты ИП, выдачу призов и выплату вознаграждений по итогам конкурсов и акций и т.д.
— для соблюдения и исполнения требований действующего законодательства Российской Федерации, включая, не ограничиваясь, осуществление бухгалтерского и налогового учета, организацию документооборота и архивного хранения, направление соответствующих сведений в государственные органы, исполнение требований и предписаний государственных органов, исполнение судебных актов, рассмотрение претензий правообладателей и обращений субъектов персональных данных и т.д.
3.2 Персональные данные Клиентов обрабатываются в целях предоставления Оператором услуг согласно условиям заключенного с клиентом договора возмездного оказании услуг; хранения данных клиентов; предоставления консультаций, иной информации о деятельности и услугах ИП по запросам клиента, исполнения иных договорных обязательств, одной из сторон которых является Клиент. Оператор собирает данные только в объеме, необходимом для достижения названных целей.
3.3 Персональные данные Работников обрабатываются в целях исполнения трудового договора. Оператор собирает данные только в объеме, необходимом для достижения названной цели.
3.4 Персональные данные Соискателей обрабатываются в целях заключения трудового договора, предварительной оценки профессиональной пригодности. Оператор собирает данные только в объеме, необходимом для достижения названной цели.
3.5 Персональные данные Уволенных сотрудников обрабатываются с целью соблюдения трудового законодательства во время и после расторжения трудового договора с Уволенным сотрудником. Оператор обрабатывает персональные данные в сроки и для достижения целей, установленных трудовым, налоговым и иным законодательством РФ.
3.6. Персональные данные контрагентов и представителей контрагентов обрабатываются с целью исполнения договорных обязательств. Оператор собирает данные только в объеме, необходимом для достижения названной цели.
3.7. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.
4. Состав и получение персональных данных
Клиентов и Работников (Соискателей, Уволенных сотрудников)
4.1 Сведения о персональных данных Клиентов, Работников, Соискателей и Уволенных сотрудников являются конфиденциальными.
4.2 К персональным данным относятся:
4.2.1. Персональные данные клиента, участников конкурсов, акций ИП, пользователи веб-сайта и иных онлайн-сервисов ИП:
|
— фамилия, имя, отчество; — дата и место рождения; — реквизиты документа, удостоверяющего личность (для паспорта: серия, номер, дата выдачи, наименование выдавшего органа, код подразделения); — контактная информация: номер телефона, адрес электронной почты; — адрес регистрации и фактического места жительства. — Гражданство — Пол — Банковские реквизиты — Регистрационные и авторизованные данные (логин, пароль и т.д.), записи звонков (разговоров), технические сведения о пользовательских устройствах и идентификаторы, в т.ч. файлы cookies, информация о пользовательском местоположении, сведения о приобретенных товарах (услугах) и иные данные, самостоятельно предоставленные такими пользователями в адрес ИП. |
Персональные данные Клиентов содержатся в документах и информационных системах, включая следующие: — информационная система «1С: Салон»; — договор об оказании косметических услуг; — информированное добровольное согласие; — счета на оплату; — электронные письма; — переписка в мессенджере; — доверенности; — электронные таблицы; |
4.2.2. Персональные данные работника, включая работника, прекратившего трудовые отношения, близких родственников работника:
|
— фамилия, имя, отчество; — реквизиты документа, удостоверяющего личность; — сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории РФ (для иностранных граждан, пребывающих в РФ); — пол, возраст, число, месяц, год рождения; — место рождения; — контактные телефоны и адреса электронной почты; — образование, квалификация, профессиональная подготовка и сведения о повышении квалификации; — реквизиты документа об образовании; — место жительства и регистрации; — Семейное положение, сведения о составе семьи и близких родственниках, которые могут понадобиться ИП, в том числе, но не ограничиваясь, для предоставления работнику льгот, предусмотренных трудовым и налоговым законодательством РФ; — сведения о предыдущей трудовой деятельности (место работы, служба в армии); — сведения о доходах; — страховой номер индивидуального лицевого счета (СНИЛС); — сведения о воинском учете; — сведения о приеме на работу, о переводах на другую работу, об аттестации, наградах (поощрениях), почетных званиях; — сведения об отпусках; — сведения о социальных гарантиях. — банковские реквизиты; — информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника у ИП; — сведения о доходах у ИП; — сведения о деловых и иных личных качествах, носящие оценочный характер; — биографические сведения; — сведения о временной нетрудоспособности и о состоянии здоровья; — фото- и видеоизображения. — сведения о транспортных средствах |
Персональные данные содержатся в документах и информационных системах, включая следующие: — информационная система «1С:Салон»; — унифицированная форма Т-2 «Личная карточка работника», в которой отражаются анкетные и биографические данные работника; — трудовой договор (соглашения о внесении изменений и дополнений в него); — анкетные данные, заполненные работником при поступлении на работу или в процессе работы (в т.ч. автобиография, сведения о семейном положенииработника, перемене фамилии, наличии детей и иждивенцев); — комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; — комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; — подлинники и копии приказов по личному составу; — личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; — дела, содержащие материалы аттестации работников, служебных расследований; — справочно-информационный банк данных по персоналу (картотеки, журналы); — подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству ИП, руководителям структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения. — документация по организации работы структурных подразделений (положения о структурных подразделениях, должностные инструкции работников, приказы, распоряжения, указания руководства Организации); — документы по планированию, учету, анализу и отчетности в части работы с персоналом ИП. — иные документы, содержащие сведения о работнике, необходимые для документального оформления трудовых правоотношений с работником; — электронные таблицы. |
4.2.3. Персональные данные соискателя:
|
— фамилия, имя, отчество; — возраст, число, месяц, год рождения; — место рождения; — образование, квалификация, профессиональная подготовка и сведения о повышении квалификации; — семейное положение, наличие детей; — сведения о предыдущей рудовой деятельности (место работы, служба в армии); — номера телефонов (мобильные, домашние); — адрес электронной почты; — фотографическое изображение; — иные персональные данные, которые работник пожелал сообщить о себе, и обработка которых соответствует целям обработки. |
Персональные данные содержатся в документах и информационных системах, включая следующие: — резюме; — электронные таблицы; — тестовые задания; — переписка в мессенджерах и др. |
4.2.4. Персональные данные контрагентов, представителей контрагентов ИП:
|
— фамилия, имя, отчество — контактная информация: номер телефона, адрес электронной почты — данные о месте работы; |
Персональные данные содержатся в документах и информационных системах, включая следующие: — договоры; — иные документы, включение в которые персональных данных Контрагента необходимо согласно действующему законодательству Российской Федерации (накладные, акты, отчеты и т.д.). — информационная система «1С: Салон»; |
4.3 Все персональные данные субъектов сотрудники ИП получают непосредственно от субъектов персональных данных, указанных в п.п. 2.1.
4.4 Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, состояния здоровья за исключением случаев, предусмотренных законодательством РФ.
5. Порядок и условия обработки персональных данных
5.1 До начала обработки персональных данных Оператор обязан уведомить Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций о намерении осуществлять обработку персональных данных.
5.2 Правовым основанием обработки персональных данных являются Трудовой кодекс РФ, иные нормативные правовые акты, а также Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
5.3 Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящим Положением.
5.4 Обработка персональных данных Оператором выполняется следующими способами:
— неавтоматизированная обработка персональных данных;
— автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
— смешанная обработка персональных данных.
5.5 Обработка персональных данных Оператором осуществляется с письменного согласия субъекта персональных данных на обработку его персональных данных либо без их согласия в следующих случаях:
— персональные данные являются общедоступными;
— персональные данные относятся к состоянию здоровья работника и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;
— по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.
5.6 Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных. Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных.
5.7. Письменное согласие работника на обработку своих персональных данных должно включать в себя:
— фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
— наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
— цель обработки персональных данных;
— перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
— перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
— срок, в течение которого действует согласие, а также порядок его отзыва.
5.8. Согласие работника не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;
2) обработка персональных данных осуществляется в целях исполнения трудового договора;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.
5.9 К обработке персональных данных Клиентов, Работников, Соискателей, Уволенных работников и Контрагентов могут иметь доступ только работники Оператора, допущенные к работе с персональными данными, ознакомленные под роспись с Положением об обеспечении безопасности персональных данных клиентов, сотрудников, контрагентов.
5.10. Перечень сотрудников, имеющих право доступа к персональным данным (далее — Перечень), определяется приказом Оператора на основании должностных обязанностей сотрудников и производственной необходимости. С указанным Перечнем сотрудники должны быть ознакомлены под роспись.
5.11. Документы, содержащие персональные данные Клиентов, Работников, Соискателей и Уволенных работников, Контрагентов хранятся в офисном помещении по адресу: г. Кострома, Михалевский проезд 9а-1, в условиях, исключающих доступ к ним посторонних лиц.
5.12. Оператор осуществляет трансграничную передачу персональных данных.
5.13. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.
5.12 Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляются посредством:
— получения оригиналов документов либо их копий;
— копирования оригиналов документов;
— внесения сведений в учетные формы на бумажных и электронных носителях;
— создания документов, содержащих персональные данные, на бумажных и электронных носителях;
— внесения персональных данных в информационные системы персональных данных.
5.13 ИП использует следующие информационные системы:
— корпоративная электронная почта;
— система электронного документооборота;
— система нормативно-справочной информации;
— система контроля удаленным доступом;
— информационный портал;
— компьютерная программа 1С: Салон
5.14 Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и настоящим Положением.
5.15. ИП может собирать техническую информацию, когда пользователь посещает веб-сайты или использует мобильные приложения и услуги ИП. Сюда входит такая информация, как IP-адрес, тип используемого мобильного устройства, операционная система устройства и тип браузера, уникальный идентификатор устройства, адрес ссылающихся веб-сайтов, путь, по которому пользователь проходит через веб-сайты и мобильные приложения Общества, и так далее. Общество может также использовать такие технологии, как файлы cookie, веб-маяки и идентификаторы мобильных устройств, для сбора информации об использовании веб-сайтов и мобильных сервисов Общества. Файлы cookie позволяют ИП предоставлять пользователям соответствующую информацию по мере использования ими веб-сайтов и мобильных сервисов ИП (например, открывать и загружать соответствующие страницы). Веб-маяки позволяют узнавать, была ли посещена определенная страница, было ли открыто электронное письмо или были ли эффективны рекламные баннеры на веб-сайтах Общества и других сайтах.
ИП использует данную информацию для обеспечения работоспособности своих веб-сайтов и мобильных приложений, для повышения качества оказываемых услуг, исправления ошибок и улучшения пользовательского опыта в целом. При этом ИП не преследует цели идентифицировать конкретного пользователя веб-сайтов, мобильных приложений и услуг ИП.
6. Защита персональных данных от несанкционированного доступа.
6.1 Оператор обязан при обработке персональных данных принимать необходимые организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
6.2 С целью защиты персональных данных соответствующими приказами назначаются:
— работник, ответственный за организацию обработки персональных данных;
— форма согласия на обработку и распространение персональных данных, форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
— иные локальные нормативные акты, принятые в соответствии с требованиями законодательства в области персональных данных.
6.3 Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении.
6.4 Для эффективной защиты персональных данных Оператором предпринимаются следующие меры:
6.4.1 Оператор и его сотрудники соблюдают порядок получения, учета и хранения материальных носителей персональных данных;
6.4.2 Применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных;
6.4.3 Оператором определяются угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
6.4.4 Работники Оператора, ответственные за обработку персональных данных, а также сотрудники, чьи обязанности связаны с получением, обработкой и защитой персональных данных должны быть ознакомлены настоящим Положением под роспись. Кроме того, перечисленные сотрудники должны быть ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, иными локальными актами Оператора в отношении обработки персональных данных, и проходят соответствующий инструктаж и/или обучение;
6.4.5 Работники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной ответственности;
6.4.6 Допуск к персональным данным Клиентов работника Оператора, не прошедшего инструктаж, запрещается.
6.4.7 Документы, содержащие персональные данные, хранятся в помещении офиса Оператора по адресу: г. Кострома, Михалевский проезд, 9А-1 где обеспечивается защита от несанкционированного доступа к ним. В помещении, где хранятся документы, содержащие персональные данные, установлены охранная и пожарная сигнализации.
6.5 Защита доступа к электронным базам данных, содержащим персональные данные Клиентов, Работников и Контрагентов, обеспечивается:
— использованием антивирусного программного обеспечения;
— использованием лицензионных программных продуктов, предотвращающих несанкционированный доступ третьих лиц к персональным данным;
— использованием информационных систем, имеющих дополнительную систему защиты данных;
— доступ к персональной информации, содержащейся в информационных системах Оператора, осуществляется по индивидуальным паролям. Предоставление доступа к учетной записи иным лицам не допускается;
— передачей данных по защищенным каналам связи;
— ведением учета машинных носителей информации;
— выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
— разработкой и установлением правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
— установлением физической охраны информационных систем (технических средств и носителей информации), предусматривающей контроль доступа в помещения информационных систем посторонних лиц, наличием надежных препятствий для несанкционированного проникновения в помещения информационных систем и хранилище носителей информации:
— работники Оператора, обрабатывающие персональные данные, периодически проходят обучение требованиям законодательства в области персональных данных;
— в должностные инструкции работников Оператора, обрабатывающих персональные данные, включаются, в частности, положения о необходимости сообщать о любых случаях несанкционированного доступа к персональным данным.
— поддержание технических средств охраны, сигнализации в постоянной готовности.
6.6 Копировать и делать выписки персональных данных разрешается исключительно в служебных целях с письменного разрешения Директора ИП Каткова Н.В.
6.7 Работникам Оператора запрещается выносить вышеуказанную информацию за пределы рабочего места на бумажных, машиночитаемых и иных носителях за исключением случаев, когда это необходимо в силу производственной необходимости для выполнения работников своих должностных обязанностей.
6.8 При работе с персональными данными работникам Оператора следует соблюдать меры, предупреждающие и ограничивающие доступ к указанной информации не уполномоченных на ее получение лиц. В том числе:
— не передавать свой пароль от входа в информационную систему третьим лицам;
— не допускать хранения в открытом доступе документов, содержащих конфиденциальную информацию;
— осуществлять хранение архивов документов в помещениях с ограниченным доступом, в закрывающихся на ключ шкафах/сейфах в течение установленного нормативно-правовыми актами РФ срока;
— после истечения, установленного нормативно-правовыми актами РФ, срока хранения документы уничтожаются вручную, либо с использование специального оборудования, о чем составляется соответствующий акт.
6.9 Нарушение данных обязанностей считается совершенным, когда сведения, содержащие персональные данные и другую конфиденциальную информацию, стали известны лицам, которые не должны располагать такой информацией.
6.10 По разрешению Оператора раскрытие конфиденциальной информации (персональных данных) третьим лицам возможно в случае привлечения их к деятельности, требующей знания такой информации, и только в том объеме, который необходим для реализации целей и задач, а также при условии принятия ими на себя обязательства не разглашать полученные сведения.
6.11 В случаях, установленных законодательством РФ, раскрытие конфиденциальной информации возможно сотрудникам правоохранительных органов, при наличии законных оснований и надлежащим образом оформленных документов, подтверждающих такие основания.
7. Сроки обработки и хранения персональных данных
7.1 Обработка персональных данных прекращается Оператором в следующих случаях:
7.1.1. при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки — в течение 3 (трех) рабочих дней с даты выявления такого факта;
7.1.2. при достижении целей их обработки;
7.1.3. истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с Законом о персональных данных их обработка допускается только с согласия;
7.1.4. при обращении субъекта персональных данных к Оператору с заявлением о прекращении обработки персональных данных
Срок прекращения обработки — не более 10 (десяти) рабочих дней с даты получения заявления (с возможностью продления не более чем на 5 (пять) рабочих дней, если направлено уведомление о причинах продления).
Заявление необходимо направить в письменной форме и подписанное собственноручной подписью субъекта персональных данных — по адресу 156000, г. Кострома, Михалевский проезд, 9А
Заявление должно в обязательном порядке содержать описание требований субъекта персональных данных, а также следующие сведения:
— ФИО субъекта персональных данных;
— номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе ЛИБО иные данные, позволяющие однозначно идентифицировать субъекта персональных данных;
— сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом, ЛИБО сведения, иным способом подтверждающие факт обработки персональных данных Обществом;
— подпись субъекта персональных данных или его представителя.
7.1.5. ликвидация ИП;
7.1.6. реорганизация ИП, влекущая прекращение его деятельности;
7.2 Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.
7.3 Персональные данные на бумажных носителях хранятся в течение сроков хранения документов, для которых эти сроки предусмотрены Федеральным законом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации».
7.4 Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
8. Порядок блокирования и уничтожения персональных данных
8.1 Оператор блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.
8.2 При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются.
8.3 Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение 7 (семи) рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.
8.4 Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 (десяти) рабочих дней с даты выявления неправомерной обработки.
8.5 Персональные данные уничтожаются в течение 30 (тридцати) календарных дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и Оператором либо если Оператор не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
8.6 При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 календарных дней.
8.7 Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 (тридцати) календарных дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого является субъект персональных данных, иное соглашение между ним и Оператором. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют подразделения Оператора, обрабатывающие персональные данные.
8.8 Уничтожение персональных данных осуществляет лицо, ответственное за обработку персональных данных в соответствии с Приказом ИП Каткова Н.В. о назначении лица, ответственного за обработку персональных данных.
8.9 Лицо, ответственное за обработку персональных данных, составляет акт с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
8.10 Персональные данные на бумажных носителях уничтожаются с использованием шредера.
8.11 Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
8.12 Непосредственно после уничтожения персональных данных оформляется акт об их уничтожении.
9. Внутренний контроль соблюдения требований Положения
9.1 Оператором проводятся внутренние расследования в следующих ситуациях:
— при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;
— в иных случаях, предусмотренных законодательством в области персональных данных.
9.2 Работник, ответственный за организацию обработки персональных данных, осуществляет внутренний контроль:
— за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов;
— соответствием указанных актов, требованиям законодательства в области персональных данных.
9.3 Внутренний контроль проходит в виде внутренних проверок.
9.3.1 Внутренние плановые проверки осуществляются на основании ежегодного плана, который утверждается ИП Каткова Н.В.
9.3.2 Внутренние внеплановые проверки осуществляются по решению работника, ответственного за организацию обработки персональных данных. Основанием для них служит информация о нарушении законодательства в области персональных данных, поступившая в устном или письменном виде.
9.3.3 По итогам внутренней проверки оформляется докладная записка. В случае выявления нарушений в документе приводятся перечень мероприятий по их устранению и соответствующие сроки.
9.3.4 Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее — инцидент).
9.3.5 В случае инцидента Оператор в течение 24 часов уведомляет Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор):
— об инциденте;
— его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;
— принятых мерах по устранению последствий инцидента;
— представителе Оператора, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.
9.3.6 В течение 72 часов Оператор обязан:
— уведомить Роскомнадзор о результатах внутреннего расследования;
— предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).
9.4 В случае предоставления субъектом персональных данных (его представителем) подтвержденной информации о том, что персональные данные являются неполными, неточными или неактуальными, в них вносятся изменения в течение семи рабочих дней. Оператор уведомляет в письменном виде субъекта персональных данных (его представителя) о внесенных изменениях и сообщает (по электронной почте) о них третьим лицам, которым были переданы персональные данные.
9.5 Оператор уведомляет субъекта персональных данных (его представителя) об устранении нарушений в части неправомерной обработки персональных данных.
9.6 В случае уничтожения персональных данных, которые неправомерно обрабатывались, уведомление направляется в соответствии с п. 7.10.5 Положения.
9.7 В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Оператор уведомляет субъекта персональных данных (его представителя) о принятых мерах в письменном виде. Оператор уведомляет по электронной почте также третьих лиц, которым были переданы такие персональные данные.
10. Доступ к персональным данным
10.1 Доступ к персональным данным субъекта персональных данных разрешен только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные субъекта, которые необходимы для выполнения конкретной функции.
10.2 Право доступа к персональным данным имеют:
— Директор
— руководители отделов;
— сотрудники отдела персонального обслуживания;
— сотрудники отдела продаж;
— сотрудники HR отдела;
— сотрудники финансового отдела.
— специалисты, оказывающие услуги.
10.3 Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения Оператора.
10.4 Субъект персональных данных имеет право:
10.4.1 получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные субъекта.
10.4.2 требовать от Оператора уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для субъекта персональных данных.
10.4.3 получать от Оператора:
— перечень обрабатываемых персональных данных и источник их получения;
— сроки обработки персональных данных, в том числе сроки их хранения;
— сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
10.5 Передача информации третьей стороне, за исключением Обработчиков, возможна только при письменном согласии субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.
10.6. Передача информации третьей стороне, за исключением Обработчиков, в коммерческих целях возможна только при письменном согласии субъекта персональных данных. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с третьими лицами, за исключением Обработчиков, с помощью средств связи допускается только с предварительного согласия субъекта персональных данных.
10.7. ИП вправе поручить обработку персональных данных третьим лицам — Обработчикам — на основании заключаемых с этими лицами договоров. К таким лицам, в частности, относятся поставщики услуг, которые помогают ИП в его деятельности: поставщики услуг хостинга, контактного центра по работе с клиентами, службы доставки и т.д.
Обработчики обязуются соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных» (включая ст. 18.1 и ч. 5 ст. 18), иными законами и подзаконными актами.
Обработчик не обязан получать согласие субъекта персональных данных на обработку его персональных данных. Если для обработки персональных данных по поручению Общества необходимо получение согласия субъекта персональных данных, такое согласие получает непосредственно ИП.
10.7 Передача персональных данных субъекта в пределах ИП осуществляется в соответствии с этим Положением.
11. Ответственность за нарушение норм, регулирующих
обработку персональных данных
11.1 Лица, получившие персональные данные субъекта персональных данных, предупреждены, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Лица, получившие персональные данные субъекта персональных данных, обязаны по требованию подтверждать соблюдение этого правила. Лица, получившие персональные данные субъекта персональных данных, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными в порядке, установленном федеральными законами.
11.2 Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами. Кроме того, они привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.
11.3 Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных Законом о персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
К настоящему Положению прилагаются следующие документы:
— Приложение № 1 «Согласие на обработку персональных данных»;
— Приложение № 2 «Ознакомление с Положением об обработке и защите персональных данных клиентов, работников, контрагентов»;
Приложение к
Положение об обработке и
защите персональных данных клиентов,
работников, контрагентов
Лист ознакомлений с Положением об обработке и защите
персональных данных клиентов, работников, контрагентов ИП Каткова Наталья Викторовна
|
№ |
ФИО |
Должность |
Дата |
Подпись |