1. Общие положения
1.1. Настоящее Положение «Об обработке и защите персональных данных»
(далее - Положение) разработано на основании Конституции Российской Федерации,
Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 №
152-ФЗ «О персональных данных», Федерального закона от 24.11.1996 № 132-ФЗ
«Об основах туристской деятельности в Российской Федерации» и других
нормативно-правовых актов Российской Федерации.
1.1.1. В соответетвии с п.п. 1, 4 статьи 4 Федерального закона от 27.07.2006 №
152-ФЗ «О персональных данных», законодательство Российской Федерации в
области персональных данных основывается на Конституции Российской Федерации
и международных договорах Российской Федерации и состоит из Федерального
закона от 27.07.2006 № 152-ФЗ «О персональных данных» и других определяющих
случаи и особенности обработки персональных данных федеральных законов.
Если международным договором Российской Федерации установлены иные
правила, чем те, которые предусмотрены Федеральным законом от 27.07.2006 №
152-ФЗ «О персональных данных», применяются правила международного договора.
1.2. В целях обеспечения защиты персональных данных настоящее Положение
определяет политику в отношении обработки персональных данных, устанавливает
процедуры, направленные на предотвращение и выявление — нарушений
законодательства Российской Федерации, устранение последствий таких нарушений
в деятельности «Туристская фирма "КРЕКС" (далее - «Общество»/ «Оператор») с
использованием средств автоматизации, в том числе в информационно-
телекоммуникационных сетях, или без использования таких средств, если обработка
персональных данных без использования таких средств соответствует характеру
действий (операций), совершаемых с персональными данными © использованием
средств автоматизации, то есть позволяет осуществлять в соответствии с заданным
алгоритмом поиск персональных данных, зафиксированных на материальном
носителе и содержащихся в картотеках или иных систематизированных собраниях
персональных данных, и (или) доступ к таким персональным данным.
1.3. Целью настоящего Положения является защита персональных данных
субъектов персональных данных Общества от несанкционированного доступа и
распространения, неправомерного их использования или утраты.
1.4. В целях настоящего Положения используются следующие основные
понятия:
1.4.1. персональные данные - любая информация, относящаяся к прямо или
косвенно определенному или определяемому физическому лицу (субъекту
персональных данных);
1.4.2. оператор - юридическое лицо, самостоятельно или совместно © другими
лицами организующее и (или) осуществляющее обработку персональных данных, а
также определяющее цели обработки персональных данных, состав персональных
данных, подлежащих — обработке, действия — (операции), совершаемые с
персональными данными;
1.4.3. обработка персональных данных - любое действие (операция) или
совокупность действий (операций), совершаемых © использованием средств
автоматизации или без использования таких средств с персональными данными,
включая сбор, запись, систематизацию, накопление, хранение, уточнение
(обновление, изменение), извлечение, использование, передачу (распространение,
предоставление, доступ), обезличивание, блокирование, удаление, уничтожение
персональных данных;
1.4.4. автоматизированная обработка персональных данных - обработка
персональных данных с помощью средств вычислительной техники;
1.4.5. распространение персональных данных - действия, направленные на
раскрытие персональных данных неопределенному кругу лиц;
1.4.6. предоставление персональных данных - действия, направленные на
раскрытие персональных данных определенному лицу или определенному кругу
лиц;
1.4.7. блокирование персональных данных - временное прекращение
обработки персональных данных (за исключением случаев, если обработка
необходима для уточнения персональных данных);
1.4.8, уничтожение персональных данных - действия, в результате которых
становится невозможным восстановить содержание персональных данных в
информационной системе персональных данных и (или) в результате которых
уничтожаются материальные носители персональных данных;
1.4.9. обезличивание персональных данных - действия, в результате которых
становится невозможным без использования дополнительной — информации
определить принадлежность персональных данных — конкретному — субъекту
персональных данных;
1.4.10. информационная система персональных данных - совокупность
содержащихся в базах данных персональных данных и обеспечивающих их
обработку информационных технологий и технических средств;
1.4.11. трансграничная передача персональных данных - передача
персональных данных на территорию иностранного государства органу власти
иностранного государства, иностранному физическому лицу или иностранному
юридическому лицу;
1.4.12. работник (сотрудник) - физическое лицо, вступившее в трудовые
отношения с Обществом (Оператором).
1.4.13. турист - лицо, посещающее страну (место) временного пребывания в
лечебно-оздоровительных, — рекреационных, — познавательных, — физкультурно-
спортивных, профессионально-деловых, религиозных и иных целях без занятия
деятельностью, связанной с получением дохода от источников в стране (месте)
временного пребывания, на период от 24 часов до 6 месяцев подряд или
осуществляющее не менее одной ночевки в стране (месте) временного пребывания;
1.4.14. заказчик туристского продукта/туристской услуги - турист или иное
лицо, заказывающее туристский продукт/туристскую услугу от имени туриста, в том
числе законный представитель несовершеннолетнего туриста;
1.4.15. туристский продукт — комплекс услуг по перевозке и размещению,
оказываемых за общую цену (независимо от включения в общую цену стоимости
экскурсионного обслуживания и (или) других услуг) по договору о реализации
туристского продукта;
1.4.16. туристская услуга — отдельно реализуемая услуга, а именно услуга по
перевозке или размещению или любая иная, подтвержденная (туроператором) к
исполнению,
1.5. К субъектам персональных данных в Обществе (далее также —
«субъекты персональных данных») относятся лица - носители персональных данных,
передавшие свои персональные данные в Общество (как на добровольной основе,
так и в рамках выполнения требований законов и иных нормативно-правовых актов)
для их последующей обработки), в том числе следующие категории субъектов
персональных данных:
- участники хозяйственных обществ (физические лица);
- работники Общества, включая совместителей, бывшие работники
Общества, а также родственники работников Общества;
- физические лица - кандидаты на вакантную должность, субъекты
правоотношений по поводу приема на работу в Общество;
- лица, выполняющие работы (оказывающие услуги) по договорам
гражданско-правового характера;
- клиенты и контрагенты Общества (физические лица), в том числе:
- физические лица - заказчики — услуг, (заказчики — туристского
продукта/туристской услуги);
- туристы;
- представители/работники клиентов и — контрагентов — Общества
(юридических лиц);
- иные лица, предоставляющие персональные данные Обществу.
1.6. Персональные данные защищаются от несанкционированного доступа в
соответствии с нормативно-правовыми актами Российской Федерации, нормативно-
распорядительными актами и рекомендациями регулирующих органов в области
защиты информации, а также правовыми актами Общества.
1.7. Обработка персональных данных должна осуществляться с соблюдением
принципов и правил, предусмотренных законодательством Российской Федерации в
области защиты персональных данных, настоящим Положением, Обработка
персональных данных допускается в следующих случаях:
- обработка персональных данных осуществляется с согласия субъекта
персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для достижения целей,
предусмотренных международным договором Российской Федерации или законом,
для осуществления и выполнения, возложенных законодательством Российской
Федерации на оператора функций, полномочий и обязанностей;
- обработка персональных данных необходима для исполнения договора,
стороной которого либо выгодоприобретателем или поручителем по которому
является субъект персональных данных, а также для заключения договора по
инициативе субъекта персональных данных или договора, по которому субъект
персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для защиты жизни, здоровья
или иных жизненно важных интересов субъекта персональных данных, если
получение согласия субъекта персональных данных невозможно;
- обработка персональных данных необходима для осутцествления прав и
законных интересов оператора или третьих лиц, либо для достижения общественно
значимых целей при условии, что при этом не нарушаются права и свободы субъекта
персональных данных;
- обработка персональных данных осуществляется в статистических или
иных исследовательских целях, за исключением целей, связанных с продвижением
услуг на рынке, при условии обязательного обезличивания персональных данных;
- осуществляется обработка персональных данных, доступ неограниченного
круга лиц к которым предоставлен субъектом персональных данных либо по его
просьбе (далее - персональные данные, сделанные общедоступными субъектом
персональных данных);
- осуществляется — обработка — персональных — данных, — подлежащих
опубликованию или обязательному раскрытию в соответствии с федеральным
законом Российской Федерации;
- в иных случаях, предусмотренных законодательством Российской Федерации.
1.8. Должностные лица Общества, в обязанности которых входит обработка
персональных данных субъектов персональных данных, обязаны обеспечить
каждому субъекту возможность ознакомления с документами и материалами,
непосредственно затрагивающими его права и свободы, если иное не предусмотрено
законодательством Российской Федерации.
1.9. Персональные данные не могут быть использованы в целях:
- причинения имущественного и морального вреда гражданам;
- затруднения реализации прав и свобод граждан.
Ограничение прав граждан Российской Федерации на основе использования
информации об их социальном происхождении, о расовой, национальной, языковой,
религиозной и партийной принадлежности запрещено и наказывается в соответствии
с законодательством.
1.10. Настоящее Положение и изменения к нему утверждаются директором
Общества; являются обязательными для исполнения всеми работниками, имеющими
доступ к персональным данным субъектов персональных данных Общества. Все
работники Общества должны быть ознакомлены под подпись с данным Положением
и изменениями к нему.
2. — Принципы обработки персональных данных
2.1. Принципы обработки персональных данных в Обществе:
2.1.1. обработка персональных данных должна осуществляться на законной и
справедливой основе;
2.1.2. обработка персональных данных должна ограничиваться достижением
конкретных, заранее определенных и законных целей, при этом не допускается
обработка персональных данных, несовместимая с целями сбора персональных
данных;
2.1.3. не допускается объединение баз данных, содержащих персональные
данные, обработка которых осуществляется в целях, несовместимых между собой;
2.1.4. обработке подлежат только персональные данные, которые отвечают
целям их обработки;
2.1.5. содержание и объем обрабатываемых персональных данных должны
соответствовать заявленным целям обработки, при этом — обрабатываемые
персональные данные не должны быть избыточными по отношению к заявленным
целям их обработки;
2.1.6. при обработке персональных данных должны быть обеспечены точность
персональных данных, их достаточность, а в необходимых случаях и актуальность
по отношению к целям обработки персональных данных, при этом оператор
(Общество) должен принимать необходимые меры либо обеспечивать их принятие
по удалению или уточнению неполных или неточных данных;
2.1.7. хранение персональных данных должно осуществляться в форме,
позволяющей определить субъекта персональных данных, не дольше, чем этого
требуют цели обработки персональных данных, если срок хранения персональных
данных не установлен федеральным законом, договором, стороной которого,
выгодоприобретателем или поручителем по которому является — субъект
персональных данных, при этом обрабатываемые персональные данные подлежат
уничтожению либо обезличиванию по достижении целей обработки или в случае
утраты необходимости в достижении этих целей, если иное не предусмотрено
федеральным законом,
3. Понятие и состав персональных данных
3.1. Под персональными данными — субъектов персональных — данных
понимается информация, необходимая Обществу в связи с корпоративными,
трудовыми, гражданско-правовыми и иными правоотношениями и касающаяся
конкретного субъекта персональных данных.
3.1.1. К персональным данным субъекта персональных данных относятся, в том
числе следующие сведения:
- фамилия, имя, отчество;
- год, месяц, день рождения;
- пол;
- паспортные данные или данные иного документа, удостоверяющего
личность (серия, номер, дата выдачи, наименование органа, выдавшего документ) и
гражданство;
- адрес места жительства (по паспорту и фактический) и дата регистрации
по месту жительства или по месту пребывания, номер домашнего телефона;
- иная информация, относящаяся к прямо или косвенно определенному или
определяемому субъекту персональных данных,
3.1.2. К персональным данным участника Общества кроме сведений, указанных
вп. 3.1.1. настоящего Положения относятся, в том числе, следующие:
- сведения о доходах;
- сведения об имуществе (имущественном положении);
- иная информация, относящаяся к прямо или косвенно определенному или
определяемому субъекту персональных данных.
3.1.3.К персональным данным работников Общества кроме сведений,
указанных в п. 3.1.1. настоящего Положения относятся следующие:
- анкетные и биографические данные;
- сведения об образовании, квалификации и о наличии специальных знаний
или специальной подготовки (серия, номер, дата выдачи диплома, свидетельства,
аттестата или другого документа об окончании образовательного учреждения,
наименование и местоположение образовательного учреждения, дата начала и
завершения обучения, факультет или отделение, квалификация и специальность по
окончании образовательного учреждения, ученая степень, ученое звание, владение
иностранными языками и другие сведения);
- сведения о повышении квалификации и переподготовке (серия, номер,
дата выдачи документа о повышении квалификации или о переподготовке,
наименование и местоположение образовательного учреждения, дата начала и
завершения — обучения, — квалификация и специальность по — окончании
образовательного учреждения и другие сведения);
- сведения о трудовой деятельности (данные о трудовой занятости на
текущее время с полным указанием должности, подразделения, наименования,
адреса и телефона организации, а также реквизитов других организаций с полным
наименованием занимаемых ранее в них должностей и времени работы в этих
организациях, а также другие сведения);
- сведения о номере, серии и дате выдачи трудовой книжки (вкладыша в
нее) и записях в ней;
- содержание и реквизиты трудового договора с работником;
- специальность;
- занимаемая должность;
- сведения о семейном положении (состояние в браке, данные
свидетельства о заключении брака, фамилия, имя, отчество супруга (и), паспортные
данные супруга (и), данные брачного контракта, данные справки по форме 2НДФЛ
супруга (и), данные документов по долговым обязательствам, степень родства,
фамилии, имена, отчества и даты рождения других членов семьи, иждивенцев и
другие сведения);
- сведения о воинском учете военнообязанных лиц и лиц, подлежащих
призыву на военную службу (серия, номер, дата выдачи, наименование органа,
выдавшего военный билет, военно-учетная специальность, воинское звание, данные
о принятини/снятиий на (с) учет (а) и другие сведения);
- сведения о заработной плате (номера счетов для расчета с работниками,
данные зарплатных договоров, в том числе номера их спецкартсчетов, данные по
окладу, надбавкам, налогам и другие сведения);
- сведения о номере и серии страхового свидетельства государственного
пенсионного страхования;
- сведения об идентификационном номере налогоплательщика;
- сведения из страховых полисов — обязательного — (добровольного)
медицинского страхования (в том числе данные соответствующих карточек
медицинского страхования);
- сведения, указанные в оригиналах и копиях приказов по личному составу
организации (Общества) и материалах к ним;
- сведения о государственных и ведомственных наградах, почетных и
специальных званиях, поощрениях (в том числе наименование или название
награды, звания или поощрения, дата и вид нормативного акта о награждении или
дата поощрения) работников Общества;
- материалы по аттестации и оценке работников Общества;
- материалы по внутренним служебным расследованиям в отношении
работников Общества;,
- материалы по расследованию и учету несчастных случаев на производстве
и профессиональным заболеваниям в соответствии с Трудовым кодексом Российской
Федерации, другими федеральными законами;
- сведения о временной нетрудоспособности работников Общества;
- табельный номер работника Общества;
- сведения о социальных льготах и о социальном статусе (серия, номер, дата
выдачи, наименование органа, выдавшего документ, являющийся основанием для
предоставления льгот и статуса, и другие сведения);
- наличие судимостей;
- место работы или учебы членов семьи и родственников;
- состав декларируемых сведений о наличии материальных ценностей;
- содержание деклараций, подаваемых в налоговую инспекцию;
- результаты медицинского обследования;
- иная информация, относящаяся к прямо или косвенно определенному или
определяемому субъекту персональных данных.
Обработка персональных данных работников Общества осуществляется с
обязательным соблюдением положений трудового законодательства Российской
Федерации в области защиты персональных данных работников.
3.1.4.К персональным данным туриста и/или заказчика — туристского
продукта/туристской услуги кроме сведений, указанных в п. 3.1.1. настоящего
Положения относятся следующие:
- номер заграничного паспорта и срок его действия;
- фамилия и имя, как они указаны в загранпаспорте;
- сведениями, которые запрешиваются консульскими службами посольства
страны планируемого посещения для рассмотрения вопроса о выдаче визы;
- иная информация, относящаяся к прямо или косвенно определенному или
определяемому субъекту персональных данных.
3.2. Сведения, перечисленные в п. 3.1. настоящего Положения, содержащие
сведения о персональных данных субъектов персональных данных, являются
конфиденциальными. Оператор (Общество) обеспечивает конфиденциальность
персональных данных, и обязан не раскрывать третьим лицам и не допускать их
распространения без согласия субъекта персональных данных, либо наличия иного
законного основания.
Все меры конфиденциальности при обработке персональных данных субъекта
персональных данных распространяются как на бумажные, так и на электронные
(автоматизированные) носители информации.
4. — Цели обработки персональных данных.
Обработка персональных данных ограничивается достижением конкретных,
заранее определенных и законных целей. Не допускается обработка персональных
данных, несовместимая с целями сбора персональных данных.
4.1. Целью обработки указанных в разделе 3 настоящего Положения
персональных данных является:
- осуществление возложенных на Общество законодательством Российской
Федерации функций в рамках реализации прав и обязанностей, вытекающих из
корпоративных правоотношений;
- организация учета работников Общества для обеспечения соблюдения
законов и иных нормативно-правовых актов, содействия в трудоустройстве,
обучении, продвижении по службе, пользования различного вида льготами в
соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом
Российской Федерации, федеральными законами, в частности: «Об индивидуальном
(персонифицированном) учете в системе обязательного пенсионного страхования»,
«О персональных данных», а также Уставом и нормативными актами Общества;
- исполнение гражданско-правового договора, стороной которого либо
выгодоприобретателем по которому является субъект персональных данных, а также
заключение договора по инициативе субъекта персональных данных или договора,
по которому субъект персональных данных будет являться вытодоприобретателем.
5. — Обработка персональных данных,
5.1. Общество получает сведения о персональных данных субъектов
персональных данных из следующих документов;
- паспорт или иной документ, удостоверяющий личность;
- трудовая книжка;
- страховое свидетельство государственного пенсионного страхования;
- свидетельство о постановке на учет в налоговом органе, содержащее
сведения об идентификационном номере налогоплательщика;
- документы воинского учета, содержащие сведения о воинском учете
военнообязанных и лиц, подлежащих призыву на военную службу;
- документ об образовании, о квалификации или о наличии специальных
знаний или специальной подготовки, содержащий сведения об образовании,
профессии;
- анкета, заполняемая при приеме на работу;
- заявка на бронирование тура;
- письменные договоры о реализации туристского продукта/туристской
услуги;
- приложения к письменным договорам о реализации туристского
продукта/туристской услуги;
- письменные претензии по качеству предоставленного туристского
продукта/туристской услуги;
- письменные документы (судебные иски, возражения на иски, решения
судебных инстанций и т.п.), связанные с ведением судебного делопроизводства по
спорам в рамках гражданского судопроизводства;
- иные документы и сведения, предоставляемые субъектом персональных
данных.
5.2. Персональные данные могут храниться, как на бумажных носителях, так и
в электронном виде.
5.3. Персональные данные на бумажных носителях, если с них не снят на
законном основании режим конфиденциальности, хранятся в специально отведенных
шкафах.
Персональные данные субъектов персональных данных также хранятся в
электронном виде: в локальной компьютерной сети Общества, в электронных папках
и файлах в персональных компьютерах генерального директора работников
Общества, допущенных к обработке персональных данных.
5.4. Общество имеет право проверять достоверность представленных сведений
о персональных данных в порядке, не противоречащем законодательству Российской
Федерации.
5.5. Обработка персональных данных субъекта персональных данных может
осуществляться исключительно в — целях — определенных — действующим
законодательством и настоящим Положением.
5.6. При определении объема и содержания обрабатываемых персональных
данных Общество руководствуется Конституцией Российской Федерации, Трудовым
кодексом Российской Федерации; законодательством Российской Федерации об
обработке и защите персональных данных, включая, но не ограничиваясь,
Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
законодательством Российской Федерации в сфере туризма, в том числе
Федеральным законом «Об основах туристской деятельности в Российской
Федерации от 24.11.1996 № 132-ФЗ; иными федеральными законами.
5.7. Если персональные данные субъекта персональных данных Общество
получает непосредственно у указанных субъектов, то сотрудники (работники)
Общества, ответственные за документационное обеспечение кадровой деятельности
и деятельности, связанной с исполнением гражданско-правовых договоров Общества
проверяют полноту и правильность указанных сведений.
Сотрудники (работники) Общества, ответственные за обработку персональных
данных, в целях исполнения гражданско-правового договора Общества, одной из
сторон которого является субъект персональных данных, все персональные данные
субъекта персональных данных получают непосредственно у указанных субъектов
или третьих лиц, действующих в порядке, определенном законом или договором.
5.8. Общество вправе поручить обработку персональных данных другому лицу
с согласия субъекта персональных данных, если иное не предусмотрено
федеральным законом, на основании заключаемого с этим лицом договора.
Лицо, осуществляющее обработку персональных данных по поручению
Общества, обязано соблюдать принципы и правила обработки персональных данных,
предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных
данных» (далее также — Федеральный закон «О защите персональных данных»/ФЗ
«О защите персональных данных»).
В случае если Общество поручает обработку персональных данных другому
лицу с согласия субъекта персональных данных, если иное не предусмотрено
федеральным законом, на основании заключаемого с этим лицом договора (далее -
поручение оператора), то в поручении оператора должны быть определены перечень
действий (операций) с персональными данными, которые будут совершаться лицом,
осуществляющим обработку персональных данных, и цели обработки, должна быть
установлена обязанность такого лица соблюдать конфиденциальность персональных
данных и обеспечивать безопасность персональных данных при их обработке, а
также должны быть указаны требования к защите обрабатываемых персональных
данных в соответствии с ФЗ «О защите персональных данных».
При этом ответственность перед субъектом персональных данных за действия
указанного лица несет Общество.
5.9. Обработка Обществом специальных категорий персональных данных,
касающихся расовой, национальной принадлежности, политических взглядов,
религиозных или философских убеждений, состояния здоровья, интимной жизни, не
допускается, за исключением следующих случаев, предусмотренных Федеральным
законом «О персональных данных»:
- субъект персональных данных дал согласие в письменной форме на
обработку своих персональных данных;
- персональные данные сделаны общедоступными субъектом персональных
данных;- обработка персональных данных осуществляется в соответствии с
законодательством о государственной — социальной — помощи, — трудовым
законодательством, пенсионным законодательством Российской Федерации;
- обработка персональных данных необходима для защиты жизни, здоровья
или иных жизненно важных интересов субъекта персональных данных либо жизни,
здоровья или иных жизненно важных интересов других лиц и получение согласия
субъекта персональных данных невозможно;
- обработка персональных данных осуществляется в соответствии с
законодательством об обязательных — видах — страхования, со — страховым
законодательством;
- иных случаях, предусмотренных Федеральным законом «О персональных
данных». В случаях, непосредственно связанных с вопросами трудовых отношений,
в соответствии со ст. 24 Конституции РФ работодатель вправе получать и
обрабатывать данные о частной жизни субъекта только с его письменного согласия.
5.10. Обработка Обществом указанных специальных категорий персональных
данных, осуществлявшаяся в случаях, предусмотренных Федеральным законом «О
персональных данных» и перечисленных в п. 5.9, настоящего Положения, должна
быть незамедлительно прекращена, если устранены причины, вследствие которых
осуществлялась обработка, если иное не установлено федеральным законом.
5.11. Сведения, которые характеризуют физиологические и биологические
особенности человека, на основании которых можно установить его личность
(биометрические персональные данные) и которые используются Обществом для
установления личности субъекта персональных данных, могут обрабатываться
только при наличии согласия в письменной форме субъекта персональных данных,
за исключением случаев, предусмотренных законодательством.
5.12. Документы, содержащие персональные данные субъекта персональных
данных — работника Общества, или физического лица, являющегося стороной
гражданско-правового договора с Обществом, составляют его личное дело.
Личное дело хранится уполномоченным лицом на бумажных носителях;
помимо этого может храниться в виде электронных документов, баз данных. Личное
дело пополняется на протяжении всей трудовой деятельности работника или
исполнения гражданско-правового договора.
Письменные доказательства получения оператором согласия субъекта
персональных данных на их обработку хранятся в личном деле.
5.13. В целях информационного обеспечения в Обществе могут создаваться
общедоступные источники персональных данных (в том числе справочники,
адресные книги). В общедоступные источники персональных данных с письменного
согласия субъекта персональных данных могут включаться его фамилия, имя,
отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и
иные персональные данные, сообщаемые субъектом персональных данных,
Сведения о субъекте персональных данных должны быть в любое время
исключены из общедоступных источников персональных данных по требованию
субъекта персональных данных либо по решению суда или иных уполномоченных
государственных органов.
5.14, Перечень лиц, допущенных к работе с документами, содержащими
персональные данные субъектов, определяется приказами Генерального директора
Общества.
5.15. Лица ответственные за организацию обработки персональных данных
назначаются приказами Генерального директора Общества.
Лицо, ответственное за организацию обработки персональных данных обязано:
1) осуществлять внутренний контроль за соблюдением Обществом и его
работниками законодательства Российской Федерации о персональных данных, в
том числе требований к защите персональных данных;
2) доводить до сведения работников Общества положения законодательства
Российской Федерации о персональных данных, локальных актов по вопросам
обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов
персональных данных или их представителей и (или) осуществлять контроль за
приемом и обработкой таких обращений и запросов.
5.16. Методическое руководство и контроль за соблюдением требований по
обработке персональных данных Обществом, контроль за соблюдением
структурными подразделениями Общества прав и свобод субъектов персональных
данных возлагается на ответственного за организацию обработки и обеспечение
безопасности персональных данных в Обществе,
5.17. Ответственный за организацию обработки и обеспечение безопасности
персональных данных в Обществе обеспечивает правовую поддержку путем
рассмотрения и согласования проектов документов Общества в области обработки и
защиты персональных данных.
5.18. Организация обеспечения техническими средствами обработки (ПЭВМ,
серверами и т.д.) и их исправной работы организуется ответственным за
организацию обработки и обеспечение безопасности персональных данных в
Обществе совместно с системным администратором Общества.
Системный администратор осуществляет защиту информационных систем, в
которых обрабатываются персональные данные от несанкционированного доступа
(НСД) путем использования специальных технических средств, а также:
- учета машинных носителей персональных данных;
- регистрации и учета всех действий, совершаемых с персональными
данными в информационной системе персональных данных;
- установления правил доступа к персональным данным, обрабатываемым в
информационной системе персональных данных (логин, пароль);
- регистрации и учета пользователей;
- антивирусной защиты;
- обеспечения целостности;
- обнаружения фактов несанкционированного доступа к персональным
данным (обнаружения вторжений).
5.19. Помещения, в которых хранятся персональные данные субъектов,
оборудуются надежными замками.
Для хранения персональных данных используются специально оборудованные
шкафы или сейфы.
Помещения, в которых хранятся персональные данные субъектов, в рабочее
время при отсутствии в них работников Общества должны быть закрыты.
Проведение уборки помещений, в которых хранятся персональные данные,
должно производиться в присутствии соответствующих работников Общества.
5.20. Для обеспечения хранения персональных данных без использования
автоматизированной обработки персональных данных необходимо издание приказа
или распоряжения о закреплении за работниками Общества определенных массивов
документов, необходимых им для информационного обеспечения функций,
указанных в должностных инструкциях этих работников; утверждение схемы
доступа работников и руководящего состава Общества, структурных подразделений
к документам, при этом устанавливается: кто, когда, какие сведения и с какой целью
может запрашивать у Общества; организация приема посетителей; порядок
дальнейшего хранения сведений, работа с которыми закончена: где эти сведения
будут храниться, кто несет ответственность за их — сохранность и
конфиденциальность,
Функционирование структурных подразделений Общества должно быть
подчинено, в том числе, решению задач обеспечения безопасности персональных
данных, их защиты,
5.21. Прием посетителей осуществляется только в те часы, которые ежедневно
выделяются для этой цели. В другое время в соответствующем помещении неё могут
находиться посторонние лица, в том числе сотрудники Общества.
5.22. В часы приема посетителей работники Общества не должны Выполнять
функции, не связанные с приемом, вести служебные и личные переговоры по
телефону. На столе работника, ведущего прием, не должно быть никаких
документов, кроме тех, которые касаются данного посетителя.
5.23. Не допускается отвечать на вопросы, связанные с передачей персональных
данных по телефону. Ответы на письменные запросы других учреждений и
организаций даются в письменной форме на бланке Общества и в том объеме,
который позволяет не разглашать излишний объем персональных данных,
5.24. При выдаче справки с места работы необходимо удостовериться в
личности работника, которому эта справка выдается. Не разрешается выдавать ее
родственникам или сослуживцам лица, которому требуется справка. За получение
справки работник Общества расписывается в журнале учета выдачи справок,
5.25. Дела, картотеки, учетные журналы и книги учета хранятся в рабочее и
нерабочее время в металлических запирающихся шкафах. Работникам Общества не
разрешается при выходе из помещения оставлять какие-либо документы на рабочем
столе или оставлять шкафы незапертыми. У каждого работника Общества должен
быть свой шкаф для хранения закрепленных за ним дел и картотек.
5.26. На рабочем столе работника должен всегда находиться только тот массив
документов и учетных карточек, с которым в настоящий момент он работает. Другие
документы, дела, карточки, журналы должны находиться в запертом шкафу.
Исполняемые документы не разрешается хранить в россыпи. Их следует помещать в
папки, на которых указывается вид производимых с ними действий (подшивка в
личные дела, для отправки и пр.).
5.27. В конце рабочего дня все документы, дела, листы бумаги и блокноты с
рабочими записями, инструктивные и справочные материалы должны быть убраны в
шкафы или сейфы. Черновики и редакции документов, испорченные бланки, листы
со служебными записями в конце рабочего дня уничтожаются в специальной
бумагорезательной машине.
5.28. Материалы, связанные с анкетированием, тестированием, проведением
собеседований с кандидатами на должность работника Общества, помещаются не в
личное дело принятого работника, а в специальное дело, имеющее гриф «Строго
конфиденциально». Материалы с результатами тестирования работающих
работников, материалы их аттестаций формируются в другое дело, также имеющее
гриф строгой конфиденциальности.
5.29. Личное дело должно обязательно иметь опись документов, включенных в
дело. Листы дела нумеруются в процессе формирования дела.
5.30. Все новые записи в дополнении к личному листку по учету кадров и
учетных формах заверяются подписью ответственных работников Общества.
5.31. В случае изъятия из личного дела документа в описи дела производится
запись с указанием основания для подобного действия и нового местонахождения
документа. С документа, подлежащего изъятию, снимается копия, которая
подшивается на место изъятого документа. Отметка в описи и копия заверяются
подписью ответственного работника Общества. Замена документов в личном деле
кем бы то ни было запрещается. Новые, исправленные документы помещаются
вместе с ранее подшитыми.
5.32. Личные дела могут выдаваться Генеральному директору Общества на
рабочее место под подпись в контрольной карточке, При этом передача личных дел
через секретарей или референтов не допускается. Другие руководители Общества
могут знакомиться с личными делами подчиненных им сотрудников в присутствии
работника, ответственного за сохранность и ведение личных дел. Факт ознакомления
фиксируется в контрольной карточке личного дела. Сотрудник Общества имеет
право знакомиться только со своим личным делом и трудовой книжкой, учетными
карточками, отражающими его персональные данные.
5.33. При возврате дела тщательно проверяется сохранность документов,
отсутствия повреждений, включения в дело других документов или подмены
документов. Просмотр дела производится в присутствии руководителя.
5.34. Трудовые книжки всегда хранятся отдельно от личных дел в закрытом
сейфе.
5.35. Строгому — контролю подлежит также работа со — справочно-
информационным банком данных по персоналу Общества (картотеками, журналами
и книгами персонального учета сотрудников). Доступ работников к справочно-
информационному банку данных должен быть ограничен и определяться их
служебными обязанностями.
5.36. На документах может ставиться гриф «Конфиденциально» или «Для
служебного пользования».
5.37. В структурных подразделениях Общества могут быть следующие
документы, содержащие персональные данные: журнал табельного учета с
указанием должностей, фамилий, инициалов сотрудников (находится у работника,
ведущего табельный учет), штатное расписание (штатный формуляр) подразделения,
в котором дополнительно может указываться, кто из сотрудников занимает ту или
иную должность, вакантные должности (находится у руководителя подразделения),
дело с выписками из приказов по личному составу, касающимися подразделения
(находится у работника, ведущего табельный учет). Руководитель подразделения
может иметь список сотрудников с указанием основных биографических данных
каждого из них (год рождения, образование, местожительство, домашний телефон и
т.п.), Все перечисленные документы следует хранить в соответствующих делах,
включенных в номенклатуру дел, имеющих гриф ограничения доступа.
6. — Сроки обработки персональных данных и порядок уничтожения,
В случае достижения цели обработки персональных данных Общество обязано
прекратить обработку персональных данных или обеспечить ее прекращение (если
обработка персональных данных осуществляется другим лицом, действующим по
поручению Общества) и уничтожить персональные данные или обеспечить их
уничтожение (если обработка персональных данных осуществляется другим лицом,
действующим по поручению Общества) в срок, не превышающий тридцати дней с
даты достижения цели обработки персональных данных, если иное не
предусмотрено договором, стороной которого, выгодоприобретателем — или
поручителем по которому является субъект персональных данных, иным
соглашением между Обществом и субъектом персональных данных либо если
Общество не вправе осуществлять обработку персональных данных без согласия
субъекта персональных данных на основаниях, предусмотренных Федеральным
законом «О персональных данных» или другими федеральными законами,
6.1. Сроки обработки указанных в разделе 3 настоящего Положения
персональных данных определяются в соответствии со сроком действия договора с
субъектом персональных данных, Приказом Минкультуры РФ от 25.08.2010 № 558
«Об утверждении «Перечня типовых управленческих архивных документов,
образующихся в процессе деятельности государственных органов, органов местного
самоуправления и организаций, с указанием сроков хранения», сроком исковой
давности, а также иными требованиями законодательства.
6.2. Персональные данные, содержащиеся на электронных — носителях
информации, уничтожаются в течение трех рабочих дней со дня окончания срока
исковой давности по договору (по общему правилу - три года с момента, когда лицо
узнало или должно было узнать о нарушении своего права).
6.3. Персональные данные субъектов персональных данных, содержащиеся на
бумажных носителях, уничтожаются по акту в следующие сроки:
- хранящиеся на бумажных носителях и не отнесенные к разряду первичных
бухгалтерских документов или иных документов, подлежащих хранению по
законодательству РФ, в течение трех рабочих дней со дня окончания срока исковой
давности по гражданско-правовому договору;
- хранящиеся на бумажных носителях и отнесенные к разряду первичных
бухгалтерских документов либо документов, подлежащих хранению — по
законодательству РФ, в течение трех рабочих дней со дня окончания срока их
хранения, установленного нормами законодательства РФ,
6.4. Об уничтожении персональных данных Общество обязано уведомить
субъект персональных данных, если иное не установлено законодательством РФ
либо гражданско-правовым договором,
7. - Защита персональных данных
7.1. Комплекс мер по защите персональных данных направлен на
предупреждение нарушений — доступности, целостности, достоверности и
конфиденциальности персональных данных и обеспечивает — безопасность
информации в процессе управленческой и производственной деятельности
Общества.
7.2. Общество при обработке персональных данных обязано принимать
необходимые правовые, организационные и технические меры или обеспечивать их
принятие для защиты персональных данных от неправомерного или случайного
доступа к ним, уничтожения, изменения, блокирования, — копирования,
предоставления, распространения, а также от иных неправомерных действий в
отношении персональных данных, в том числе использовать шифровальные
(криптографические) средства для защиты персональных данных в соответствии с
требованиями к обеспечению безопасности и защиты персональных данных при их
обработке в информационных системах персональных данных, требованиями к
материальным носителям биометрических персональных данных и технологиям
хранения таких данных вне информационных систем персональных данных,
установленными Правительством Российской Федерации.
7.3. Использование и хранение биометрических персональных данных вне
информационных систем персональных данных могут осуществляться только на
таких материальных носителях информации и с применением технологий ее
хранения, которые обеспечивают защиту этих данных от неправомерного или
случайного доступа к ним, их уничтожения, изменения, блокирования, копирования,
распространения.
7.4. Мероприятия по защите — персональных — данных — подразумевают
внутреннюю и внешнюю защиту.
7.4.1 «Внутренняя защита» включает следующие организационно-технические
мероприятия:
Регламентация доступа работников Общества к конфиденциальным сведениям,
документам и базам данных входит в число основных направлений организационной
защиты информации и предназначена для разграничения полномочий между
руководством и работниками Общества.
Для защиты персональных данных в Обществе применяются следующие
принципы и правила:
- ограничение и регламентация состава работников (сотрудников),
функциональные обязанности которых требуют доступа к информации, содержащей
персональные данные;
- строгое избирательное и обоснованное распределение документов и
информации между сотрудниками;
- рациональное размещение рабочих мест сотрудников, при котором
исключалось бы бесконтрольное использование защищаемой информации;
- знание сотрудниками требований нормативно-методических документов
по защите персональных данных;
- наличие необходимых условий в помещении для работы с
конфиденциальными документами и базами данных;
- определение и регламентация состава работников — (сотрудников)
Общества, имеющих право доступа (входа) в помещение, в котором находится
соответствующая вычислительная техника;
- организация порядка уничтожения информации;
- своевременное выявление нарушений требований разрешительной
системы доступа сотрудниками соответствующего подразделения Общества;
- воспитательная и — разъяснительная — работа с сотрудниками
соответствующего подразделения Общества по предупреждению утраты ценных
сведений при работе с конфиденциальными документами;
- защита паролями доступа персональных компьютеров, на которых
содержатся персональные данные,
Личные дела работников Общества могут выдаваться на рабочие места только
руководителю (Генеральному директору) Общества и в исключительных случаях, по
письменному разрешению руководителя Общества, руководителю структурного
подразделения Общества.
7.4.2. «Внешняя защита» включает следующие организационно-технические
мероприятия:
Для защиты конфиденциальной информации создаются целенаправленные
неблагоприятные условия и труднопреодолимые препятствия для — лица,
пытающегося совершить несанкционированный доступ и овладение информацией.
Целью и результатом несанкционированного доступа к информационным
ресурсам может быть не только овладение ценными сведениями и их использование,
но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация
содержания реквизитов документа и др.
Под посторонним лицом — понимается любое лицо, не имеющее
непосредственного отношения к деятельности Общества, посетители, сотрудники
других организационных структур. Посторонние лица не должны знать
распределение функций, рабочие процессы, технологию составления, оформления,
ведения и хранения документов, дел и рабочих материалов в управлении кадрами,
управлении — бухгалтерского учета, финансов и прогнозирования, других
подразделений Общества, использующих персональные данные,
Для защиты персональных данных соблюдается ряд мер организационно-
технического характера:
- порядок приема, учета и контроля деятельности посетителей;
- технические средства охраны, сигнализации;
- порядок охраны территории, зданий, помещений, транспортных средств;
- требования к защите — информации — при интервьюйровании и
собеседованиях,
7.5. Организация и внедрение комплекса мер по технической защите
персональных данных возлагается на системного администратора Общества.
Организационные меры по защите персональных данных осуществляет
ответственный за организацию обработки и обеспечение безопасности персональных
данных в Обществе,
Порядок конкретных мероприятий по защите персональных данных с
использованием или без использования ЭВМ определяется — локальными
нормативными актами Общества,
8. — Ответственность за разглашение конфиденциальной информации,
связанной с персональными данными
8.1. Персональная ответственность является одним из главных требований к
организации функционирования системы защиты персональных данных и
обязательным условием обеспечения эффективности функционирования данной
системы,
8.2. Юридические и физические лица, в соответствии со — своими
полномочиями владеющие информацией о гражданах, получающие и использующие
ее, несут ответственность в соответствии с законодательством Российской
Федерации за нарушение режима защиты, обработки и порядка использования этой
информации.
8.3. Руководитель, — разрешающий — доступ сотрудника — Общества к
конфиденциальному документу, несет персональную ответственность за данное
разрешение.
8.4. Лица, виновные в нарушении норм, регулирующих обработку и защиту
персональных данных субъекта, несут дисциплинарную, административную,
гражданско-правовую или уголовную ответственность в соответствии с
федеральным законодательством.8.5. Каждый работник Общества, получающий для
работы конфиденциальный документ, несет единоличную ответственность за
сохранность носителя и конфиденциальность полученной информации.
8.6. Право субъекта персональных данных на доступ к его персональным
данным и порядок предоставления такого доступа устанавливаются Федеральным
законом «О персональных данных».
Должностные лица Общества, в обязанность которых входит обработка
персональных данных, обязаны обеспечить каждому субъекту персональных данных,
возможность ознакомления с соответствующими документами и материалами, если
иное не предусмотрено законом.
Неправомерный отказ в предоставлении собранных в установленном порядке
персональных данных, либо несвоевременное их предоставление в случаях,
предусмотренных законом, либо предоставление неполной или заведомо ложной
информации влечет наложение на должностных лиц административного наказания в
порядке, установленном Кодексом Российской Федерации об административных
правонарушениях.
8.7. Моральный вред, причиненный субъекту персональных данных вследствие
нарушения его прав, нарушения правил обработки персональных данных, а также
требований к защите персональных данных, установленных законом «О защите
персональных данных», подлежит возмещению в соответствии с законодательством
РФ. Возмещение морального вреда осуществляется независимо от возмещения
имущественного вреда и понесенных субъектом персональных данных убытков, в
порядке, установленном гражданским законодательством РФ.
Гражданско-правовая ответственность за нарушение законодательства в
области обработки и защиты персональных данных, может быть осуществлена в
форме опровержения сведений, порочащих честь, достоинство или деловую
репутацию гражданина.
8.8. За нарушение законодательства Российской Федерации в области
персональных данных предусмотрена административная ответственность,
В соответствии со статьей 13.11 КоАП РФ:
обработка — персональных данных в случаях, не предусмотренных
законодательством Российской Федерации в области персональных данных, либо
обработка персональных данных, несовместимая с целями сбора персональных
данных, за исключением случаев, предусмотренных частью 2 ст. 13.11 КоАП РФ,
если эти действия не содержат уголовно наказуемого деяния, - влечет
предупреждение или наложение административного штрафа на граждан в размере от
одной тысячи до трёх тысяч рублей; на должностных лиц - от пяти тысяч до десяти
тысяч рублей; на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей,
Обработка персональных данных без согласия в письменной форме субъекта
персональных данных на обработку его персональных данных в случаях, когда такое
согласие должно быть получено в соответствии с законодательством Российской
Федерации в области персональных данных, если эти действия не содержат уголовно
наказуемого деяния, либо обработка персональных данных © нарушением
установленных законодательством Российской Федерации в области персональных
данных требований к составу сведений, включаемых в согласие в письменной форме
субъекта персональных данных на обработку его персональных данных, - влечет
наложение административного штрафа на граждан в размере от трех тысяч до пяти
тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на
юридических лиц - от пятнадцати тысяч до семидесяти пяти тысяч рублей.
Невыполнение оператором предусмотренной законодательством Российской
Федерации в области персональных данных обязанности по опубликованию или
обеспечению иным образом неограниченного доступа к документу, определяющему
политику оператора в отношении обработки персональных данных, или сведениям о
реализуемых требованиях к защите персональных данных - влечет предупреждение
или наложение административного штрафа на граждан в размере от семисот до
одной тысячи пятисот рублей; на должностных лиц - от трех тысяч до шести тысяч
рублей; на индивидуальных предпринимателей - от пяти тысяч до десяти тысяч
рублей; на юридических лиц - от пятнадцати тысяч до тридцати тысяч рублей.
Невыполнение оператором предусмотренной законодательством Российской
Федерации в области персональных данных обязанности по предоставлению
субъекту | персональных | данных | информации, касающейся обработки — его
персональных данных, - влечет предупреждение или наложение административного
штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на
должностных лиц - от четырех тысяч до шести тысяч рублей; на индивидуальных
предпринимателей - от десяти тысяч до пятнадцати тысяч рублей; на юридических
лиц - от двадцати тысяч до сорока тысяч рублей.
Невыполнение оператором в сроки, установленные законодательством
Российской Федерации в области персональных данных, требования субъекта
персональных данных или ©го представителя либо уполномоченного органа по
защите прав субъектов персональных данных об уточнении персональных данных,
их блокировании или уничтожении в случае, если персональные данные являются
неполными, устаревшими, неточными, незаконно полученными или не являются
необходимыми для заявленной цели обработки, - влечет предупреждение или
наложение административного штрафа на граждан в размере от одной тысячи до
двух тысяч рублей; на должностных лиц - от четырех тысяч до десяти тысяч рублей;
на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей;
на юридических лиц - от двадцати пяти тысяч до сорока пяти тысяч рублей.
Невыполнение оператором при обработке персональных данных без
использования средств автоматизации обязанности по соблюдению условий,
обеспечивающих в соответствии с законодательством Российской Федерации в
области персональных данных сохранность персональных данных при хранении
материальных носителей персональных данных и исключающих
несанкционированный к ним доступ, если это повлекло неправомерный или
случайный доступ к персональным данным, их уничтожение, изменение,
блокирование, копирование, — предоставление, распространение либо иные
неправомерные действия в отношении персональных данных, при отсутствии
признаков уголовно наказуемого деяния -
влечет наложение административного штрафа на граждан в размере от семисот
до двух тысяч рублей; на должностных лиц - от четырех тысяч до десяти тысяч
рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч
рублей; на юридических лиц - от двадцати пяти тысяч до пятидесяти тысяч рублей.
Невыполнение оператором, являющимся государственным или муниципальным
органом, предусмотренной законодательством Российской Федерации в области
персональных данных обязанности по обезличиванию персональных данных либо
несоблюдение установленных требований или методов по обезличиванию
персональных данных - влечет предупреждение или наложение административного
штрафа на должностных лиц в размере от трех тысяч до шести тысяч рублей.
8.9. Дисциплинарная ответственность за нарушение законодательства 0
персональных данных предусмотрена Трудовым кодексом РФ.
Лица, виновные в нарушении законодательства РФ в области персональных
данных при обработке персональных данных работника, привлекаются к
дисциплинарной и материальной ответственности в порядке, установленном ТК РФ
и иными федеральными законами, а также привлекаются к гражданско-правовой,
административной и уголовной ответственности в порядке, установленном
федеральными законами.
Однократное грубое нарушение работником трудовых обязанностей в виде
разглашения — охраняемой законом тайны — (государственной, коммерческой,
служебной и иной), ставшей известной работнику в связи с исполнением им
трудовых обязанностей, в том числе разглашения персональных данных другого
работника, может стать основанием для расторжения трудового договора.
В аналогичных случаях применяются и иные дисциплинарные взыскания;
замечание; выговор; увольнение по соответствующим основаниям,
8.10. Уголовная ответственность за нарушение неприкосновенности частной
жизни (в том числе незаконное собирание или распространение сведений о частной
жизни лица, составляющего его личную или семейную тайну, без его согласия);
неправомерный доступ к охраняемой законом компьютерной информации;
неправомерный отказ должностного лица в предоставлении собранных в
установленном порядке документов и сведений (материалов), непосредственно
затрагивающих права и свободы гражданина, либо предоставление гражданину
неполной или заведомо ложной информации (если эти деяния причинили вред
правам и законным интересам граждан), влечет наложение наказания в порядке,
предусмотренном Уголовным кодексом РФ.