Положение об обработке персональных данных

 

УТВЕРЖДАЮ

На основании приказа № 8 от  06.06.2018г.

Индивидуальный предприниматель

 

___________________ ИП Шварц С.А.

 

ПОЛОЖЕНИЕ

ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

  1. Общие сведения

Положение об обработке и защите персональных данных ИП Шварц С.А. (далее по тексту - ИП) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных ИП.

Настоящее Положение определяет политику ИП, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

Настоящее Положение об обработке персональных данных ИП (далее по тексту просто Положение) разработано в соответствии с ФЗ от 27.07.2006. № 152 ФЗ «О персональных данных» (далее по тексту просто ФЗ152), Трудовым кодексом РФ (далее по тексту – ТК РФ), а также «Перечнем сведений конфиденциального характера», которые были утверждены Указом Президента РФ от 06.03.1997№188.

Рассматриваемое Положение задаёт порядок обработки персональных сведений и устанавливает необходимые требования общего характера к обеспечению безопасности персональных данных, обрабатываемых ИП (далее по тексту просто Оператор), как с использованием средств для автоматической обработки информации, так использования этих средств.

Обработка персональных данных ИП осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством Российской Федерации в области персональных данных.

В данном Положении предусмотрены следующие понятия:

Пользователь - лицо, с которым заключено договор об оказании услуг;

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

ИП – Индивидуальный предприниматель (ИП Шварц С.А.);

Персональные данные (ПДн) –любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн);

Предоставление персональных данных – действия, направленные на раскрытие персональных данных;

определенному лицу или определенному кругу лиц;

Работник – физическое лицо, вступившее в трудовые отношения с ИП Шварц С.А.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Субъект персональных данных (Субъект ПДн) физическое лицо, к которому относятся соответствующие персональные данные;

Уничтожение персональных данных - действия, в результате которых становится

невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

 

  1. Цели обработки персональных данных

Персональные данные кандидатов на вакантные должности -в целях обеспечения соблюдения законов Российской Федерации и иных нормативных правовых актов, содействия в трудоустройстве, проверки деловых и личностных качеств.

Обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, обеспечения соблюдения законодательства Российской Федерации, содействия в трудоустройстве.

соблюдения законов Российской Федерации и иных нормативных правовых актов, содействия в обучении и трудоустройстве.

Российской Федерации и иных нормативных правовых актов, в том числе в части бухгалтерского и налогового учета, обеспечения архивного хранения документов.

Российской Федерации и иных нормативных правовых актов,

предоставления гарантий и компенсаций работникам ИП, установленных

действующим законодательством и локальными нормативными актами ИП;

услуг связи, заключенных между ИП и Пользователем. Персональные данные

лиц, желающих заключить договор на оказание услуг с ИП -в целях заключения договора об оказании услуг между ИП и потенциальным Пользователем.

в целях обеспечения соблюдения прав и законных интересов субъекта персональных

данных, уполномочившего представителя на представление его интересов во

взаимоотношениях с ИП.

контрагентов, -в целях исполнения заключенных договоров.

  1. Условия и порядок обработки персональных данных работников ИП Шварц С.А.

Персональные данные работников ИП, граждан, претендующих на должность у ИП, обрабатываются в целях обеспечения кадровой работы.

У ИП осуществляется обработка ПДн следующих категорий работников:

В целях, настоящего Положения, обрабатываются следующие категории персональных данных работников ИП, а также граждан, претендующих на должность:

Обработка персональных данных работников ИП, граждан, претендующих на должность у ИП осуществляется при условии получения согласия указанных лиц в следующих случаях:

Обработка персональных данных работников ИП, граждан, претендующих на должность работников ИП, осуществляется индивидуальным предпринимателем и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В случаях, предусмотренных настоящим Положением, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом "О персональных данных".

Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных работников ИП, граждан, претендующих на замещение должностей работников ИП, осуществляется путем:

Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от работников ИП, граждан, претендующих на замещение должностей ИП.

Передача (распространение, предоставление) и использование персональных данных работников ИП, граждан, претендующих на замещение должностей в ИП, осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

Запрещается получать, обрабатывать следующие данные работников ИП и граждан, претендующих на замещение должностей в ИП: данные касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

 

  1. Условия и порядок обработки персональных данных субъектов:

     В ИП обработка персональных данных физических лиц осуществляется в целях предоставления услуг.  

У ИП осуществляется обработка ПДн следующих категорий Субъектов:

 В рамках рассмотрения обращений граждан подлежат обработке следующие персональные данные заявителей:

 

 

  1. Порядок обработки персональных данных субъектов персональных данных в информационных системах

Обработка персональных данных осуществляется на автоматизированных рабочих местах сотрудников ИП.

Информационная система персональных данных ИП содержит персональные данные сотрудников ИП и субъектов (Пользователей).

Информация может вноситься как в автоматическом режиме, при получении персональных данных с сайта ИП, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

Классификация информационных систем персональных данных, указанных в Положении, осуществляется в порядке, установленном законодательством Российской Федерации. Работникам, имеющим право осуществлять обработку Персональных данных в информационных системах, предоставляется доступ к прикладным программным подсистемам.

Обеспечение безопасности персональных данных, обрабатываемых ИП, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

Обмен персональными данными при их обработке в информационных системах персональных данных осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.

 

  1. Права Субъектов персональных данных

Субъекты, ПДн которых обрабатываются ИП, имеют право получить информацию относительно ПДн, обрабатываемых ИП, в объеме, предусмотренном ФЗ РФ «О персональных данных»

Требовать извещения ИП всех лиц, которым ранее были сообщены неверные или неполные ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях.

Обжаловать в уполномоченный орган по защите прав Субъектов ПДн или в судебном порядке неправомерные действия или бездействия ИП при

обработке и защите его ПДн.

Требовать от ИП уточнения, исключения или исправления неполных, неверных, устаревших, неточных, незаконно полученных, или не являющихся необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

 

 

  1. Конфиденциальность ПДн

ИП и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия Субъекта ПДн, за исключением случаев,

предусмотренных действующим законодательством.

 

 

  1. Передача персональных данных

Передача персональных данных работниками Оператора третьему лицу может выполняться только в ситуации, когда субъект предоставил письменное соглашение на выполнение данного действия, если иное не предусмотрено федеральным законодательством.

Передача (распространение, предоставление) и использование персональных данных Пользователей (субъектов персональных данных) осуществляется только в случаях и в порядке, предусмотренных федеральными законами.

Передача персональных сведений о субъектах между подразделениями оператора должна выполняться только между работниками, которые были допущены к обработке персональных данных.

ИП в ходе своей деятельности может предоставлять персональные данные субъектов третьим лицам в соответствии с требованиями законодательства РФ либо с согласия субъекта персональных данных. При этом обязательным условием предоставления персональных данных третьему лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.

Если персональные данные были переданы 3-м лицам, то с третьим лицом должно быть подписано специальное Соглашение, в котором указывается о соблюдении безопасности персональных данных, которые были переданы на совершение обработки. Форма рассматриваемого Соглашения должна быть утверждена приказом руководителя Оператора.

 

  1. Сроки обработки и хранения персональных данных.

Срок обработки ПДн, обрабатываемых ИП, определяется организационно -распорядительными документами ИП в соответствии с положениями ФЗ РФ «О персональных данных».

Персональные данные, срок обработки которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом.

Сроки обработки ПДн определяются в соответствии со сроком действия договора с субъектом ПДн, приказом Минкультуры РФ от 25.08.2010 No 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроками исковой давности, а также иными сроками, установленными законодательством РФ и организационно-распорядительными документами ИП.

 

 

  1. Уничтожение (обезличивание) персональных данных

Уничтожение (обезличивание) ПДн Субъекта производится в следующих случаях:

срок, не превышающий тридцати дней с момента достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект ПДн, иным соглашением между ИПм и Субъектом ПДн либо если ИП не вправе осуществлять обработку ПДн без согласия Субъекта ПДн на основаниях,

предусмотренных федеральными законами РФ;

более не требуется для целей Обработки ПДн, в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено

договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект ПДн, иным соглашением между ИП и Субъектом ПДн либо если ИП не вправе осуществлять Обработку ПДн без согласия Субъекта ПДн на основаниях, предусмотренных федеральными законами РФ;

рабочих дней с момента выявления неправомерной обработки ПДн;

Прокуратуры России или решения суда.

законодательством РФ и организационно-распорядительными документами ИП;

При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн и при необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию. Уничтожение части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

 

10Ответственность за нарушение норм, регулирующих обработку персональных данных.

ИП и/или Работники ИП, виновные в нарушении требований законодательства РФ о персональных данных, а также положений настоящей Политики, несут предусмотренную законодательством Российской Федерации ответственность.

 

  1. Заключительные положения

Права и обязанности работников Оператора, не указанные в Положении, представленном выше, определяются Инструкцией пользователя информационных систем персональных данных.

Работник, обладающий доступом к персональным данным и сделавший дисциплинарный проступок, несёт полную материальную ответственность в том случае, если его совершёнными действиями был причинён ущерб работодателю (п. 7 ст. 243 ТК РФ). Работники Операторы, которые обладают доступом к персональным данным, в том случае когда они виновны в их незаконном разглашении или применении без согласия субъектов персональных данных из корыстной или иной личной выгоды и причинившие крупный ущерб, подвержены уголовной ответственности в соответствии со ст. 183 Уголовного кодекса РФ.

Обновление данного положения производится в соответствии с Регламентом по выполнению контрольных мероприятий и реагированию на инциденты, возникшие в сфере информационной безопасности. 

Лица, нарушившие установленные нормы выполнения работ с персональными данными, которые регулируют обработку и защиту персональных данных несут материальную, административную, дисциплинарную, гражданско-правовую или уголовную ответственность в порядке, который был установлен ФЗ. Такие действия как разглашение персональных данных, публичное раскрытие персональных данных, а также утрата документации и иных носителей, которые содержат персональные данные, а также другие нарушение не приведённые выше, но влекущие нарушения в обработке и защите персональных данных, влечёт на сотрудника обладающего доступом к персональным данным, различные формы дисциплинарного взыскания: замечание, выговор или увольнение.