ПОЛИТИКА КОНФЕДЕНЦИАЛЬНОСТИ
(Политика по обработке и защите персональных данных)
1. Общие положения
1.1. Настоящее Положение разработано на основе и во исполнение части 1 статьи 23, статьи 24 Конституции Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», положений главы 14 Трудового кодекса Российской Федерации «Защита персональных данных работников», а также изменений к ним, включая новые редакции документов.
1.2. В настоящем Положения используются следующие термины и понятия:
1.2.1. Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
1.2.2. Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
1.2.3. Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
1.2.4. Обработка персональных данных без использования средств автоматизации (неавтоматизированная) - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
1.3. Положение определяет порядок обработки персональных данных работников ООО «ЭЛСИ» (далее организации) и иных субъектов персональных данных, порядок использования персональных данных в служебных целях руководителями и работниками организации, а также порядок взаимодействия по поводу сбора, документирования, хранения и уничтожения обрабатываемых в организации персональных данных.
1.4. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, или продлевается на основании заключения экспертной комиссии организации, если иное не определено законом.
1.5. Настоящее Положение утверждается и вводится в действие приказом руководителя организации и является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным.
2. Понятие, цель и состав персональных данных организации
2.1. Персональные данные организации содержат:
2.1.1. Информацию, необходимую работодателю в связи с организацией, обеспечением и регулированиям трудовых и непосредственно связанных с ними отношений и касающиеся конкретного работника в целях документального оформления их факта. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.
2.1.2. Информацию, необходимую работникам организации, в соответствии с Уставом и учредительными документами в целях заключения и исполнения договоров с контрагентами.
2.2. В состав персональных данных работника входят:
- фамилия, имя, отчество и пол работника;
- наименование занимаемой должности и характер работы;
- наличие испытательного срока;
- номер трудового договора и номера дополнений к трудовому договору;
- сведения о текущем должностном окладе и надбавках к должностному окладу;
- дата рождения;
- гражданство;
- адрес прописки;
- адрес проживания;
- дата и место рождения;
- данные паспорта (серия, номер, когда и кем выдан);
- ИНН;
- номер страхового свидетельства ПФР;
- данные о детях;
- данные о семейном положении;
- личный телефонный номер.
2.3. В состав персональных данных контрагента входят:
- фамилия, имя, отчество;
- дата рождения;
- гражданство;
- адрес прописки;
- адрес проживания;
- дата рождения;
- данные паспорта (серия, номер, когда и кем выдан);
- ИНН;
2.3. Данные документы являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения - соответствующий гриф ограничения на них не ставится.
3. Обработка персональных данных
3.2. В целях обеспечения прав и свобод человека и гражданина при обработке персональных данных обязаны соблюдать следующие общие требования:
3.2.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.2.2. При определении объема и содержания, обрабатываемых персональных данных необходимо руководствоваться Конституцией Российской Федерации, Трудовым Кодексом и иными федеральными законами.
3.2.3. Получение персональных данных может осуществляться как путем представления их самим субъектом персональных данных, так и путем получения их из иных источников.
3.2.4. Персональные данные следует получать у самого субъекта персональных данных. Если персональные данные, возможно, получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие составленном по форме согласно приложению №2 к настоящей политике. Необходимо сообщить о целях, предполагаемых источниках и способах получения персональных данных, а так же о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
3.2.5. Организация не имеет права получать и обрабатывать персональные данные своих работников или контрагентов содержащие сведения об их политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны работодателем только с его письменного согласия составленного по форме согласно приложению №1 к настоящему Положению.
3.2.6. Организация не имеет право получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
3.3. К обработке, передаче и хранению персональных данных работника могут иметь доступ следующие сотрудники:
- бухгалтер-кассир;
- генеральный директор.
3.4. Использование персональных данных возможно только в соответствии с целями, определившими их получение.
3.4.1. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
3.5. Передача персональных данных возможна только с согласия субъекта персональных данных или в случаях, прямо предусмотренных законодательством.
3.5.1. При передаче персональных данных необходимо соблюдать следующие требования:
- не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, составленного по форме согласно приложению №3 к настоящему Положению, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральным законом;
- не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными в порядке, установленном федеральными законами;
- разрешать доступ к персональным данным, только специально уполномоченным лицам, определенным приказом по организации, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- передавать персональные данные работника представителям работников в порядке, установленном Трудовым Кодексом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
3.5.2. Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
3.6. Все меры конфиденциальности при сборе, обработке и хранении персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
3.7. Запрещается:
3.7.1. Обрабатывать персональные данные в присутствии лиц, не допущенных к их обработке.
3.7.2. Осуществлять ввод персональных данных под диктовку.
3.8. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.
3.9. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
3.10. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Работодатель учитывает личные качества работника, его добросовестный и эффективный труд.
4. Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации
4.1. Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», нормативных и иных руководящих документов уполномоченных федеральных органов исполнительной власти, а также изменений к ним.
4.2. Оператором осуществляется классификация информационных систем персональных данных в соответствии с Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" в зависимости от категории обрабатываемых данных и их количества, а также изменений, в том числе новых редакциях и иных сопутствующих нормативно-правовых актов.
4.3. Мероприятия по обеспечению безопасности персональных данных на стадиях проектирования и ввода в эксплуатацию объектов информатизации проводятся в соответствии с приказом ФСТЭК Росси от 05.02.2010 №58 «О методах и способах защиты информации в информационных системах персональных данных», а также изменений к нему, включая новые редакции.
4.4. Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации при отсутствии:
4.4.1. Утвержденных организационно-технических документов о порядке эксплуатации информационных систем персональных данных, включающих акт классификации ИСПДн, инструкции пользователя, инструкции Администратора безопасности, инструкции по антивирусному контролю, и других нормативных и методических документов.
4.4.2. Настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, резервного копирования информации и других программных и технических средств в соответствии с требованиями безопасности информации.
4.4.3. Охраны и организации режима допуска в помещения, предназначенные для обработки персональных данных.
5. Порядок обработки персональных данных без использования средств автоматизации
5.1. Обработка персональных данных при неавтоматизированной обработке осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти, а также изменений к ним, включая новые редакции документов.
5.2. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.
5.3. При неавтоматизированной обработке персональных данных на бумажных носителях:
- не допускается фиксация на одном бумажном носителе персональных данных, цели, обработки которых заведомо не совместимы;
- персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
- документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
- дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.
5.4. Неавтоматизированная обработка персональных данных в электронном виде осуществляется на внешних электронных носителях информации.
5.5. При отсутствии технологической возможности осуществления неавтоматизированной обработки персональных данных в электронном виде на внешних носителях информации необходимо принимать организационные (охрана помещений) и технические меры (установка сертифицированных средств защиты информации), исключающие возможность несанкционированного доступа к персональным данным лиц, не допущенных к их обработке.
5.6. Электронные носители информации, содержащие персональные данные, учитываются в журнале учета электронных носителей персональных данных.
5.7. К каждому электронному носителю оформляется опись файлов, содержащихся на нем, с указанием цели обработки и категории персональных данных.
5.8. При несовместимости целей неавтоматизированной обработки персональных данных, зафиксированных на одном электронном носителе, если электронный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
5.8.1. при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
5.8.2. при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
5.9. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
5.10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
6. Доступ к персональным данным
6.1. Внутренний доступ (доступ внутри организации).
6.1.1. Право доступа к персональным данным сотрудника имеют:
- генеральный директор;
- бухгалтер-кассир;
- сам работник, носитель данных;
- другие сотрудники организации при выполнении ими своих служебных обязанностей.
6.1.2. Право доступа к персональным данным контрагента имеют:
- генеральный директор;
- Бухгалтер-кассир;
- сам контрагент, носитель данных;
- другие сотрудники организации при выполнении ими своих служебных обязанностей.
6.1.3. Перечень лиц, имеющих доступ к персональным данным работников, определяется приказом генерального директора.
6.2. Внешний доступ.
6.2.1. К числу массовых потребителей персональных данных вне организации можно отнести государственные и негосударственные функциональные структуры:
- налоговые инспекции;
- правоохранительные органы;
- органы статистики;
- страховые агентства;
- военкоматы;
- органы социального страхования;
- пенсионные фонды;
- подразделения муниципальных органов управления;
6.2.2. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.
6.2.3. Организации, в которые субъект персональных данных может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным субъекта только в случае его письменного разрешения.
6.2.4. Сведения о субъекте персональных данных могут быть предоставлены другой организации только в случае письменного запроса на бланке организации, с приложением копии нотариально заверенного разрешения субъекта персональных данных.
6.2.5. Персональные данные субъекта персональных данных могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта.
6.2.6. В случае развода бывшая супруга (супруг) имеют право обратиться в организацию с письменным запросом о размере заработной платы сотрудника без его согласия. (УК РФ).
7. Защита персональных данных
7.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
7.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
7.3. Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности организации.
7.4. Защита персональных данных субъекта персональных данных от неправомерного их использования или утраты должна быть обеспечена за счет средств организации в порядке, установленном федеральным законом.
7.5. «Внутренняя защита».
7.5.1. Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и специалистами организации.
7.5.2. Для обеспечения внутренней защиты персональных данных необходимо соблюдать ряд мер:
- ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;
- строгое избирательное и обоснованное распределение документов и информации между работниками;
- рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
- знание работником требований нормативно – методических документов по защите информации и сохранении тайны;
- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
- определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;
- организация порядка уничтожения информации;
- своевременное выявление нарушения требований разрешительной системы доступа работниками;
- воспитательная и разъяснительная работа с сотрудниками по предупреждению утраты ценных сведений при работе с конфиденциальными документами.
7.5.3. Защита персональных данных субъектов персональных данных на электронных носителях.
Все папки, содержащие персональные данные субъектов, должны быть защищены паролем согласно Инструкции парольной защиты.
7.6. «Внешняя защита».
7.6.1. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
7.6.2. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности организации, посетители, работники других организаций. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов.
7.6.3. Для обеспечения внешней защиты персональных данных необходимо соблюдать ряд мер:
- порядок приема, учета и контроля деятельности посетителей;
- пропускной режим организации;
- учет и порядок выдачи удостоверений;
- технические средства охраны, сигнализации;
- порядок охраны территории, зданий, помещений, транспортных средств;
- требования к защите информации при интервьюировании и собеседованиях.
7.7. Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных.
7.8. По возможности персональные данные обезличиваются.
7.9. Кроме мер защиты персональных данных, установленных законодательством, работодатели, работники, контрагенты и их представители могут вырабатывать совместные меры защиты персональных данных.
8. Права и обязанности субъекта персональных данных
8.1. Закрепление прав субъекта персональных данных, регламентирующих защиту его персональных данных, обеспечивает сохранность полной и точной информации о нем.
8.2. Субъекты персональных данных и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
8.3. В целях защиты персональных данных, хранящихся в организации, субъект персональных данных имеет право:
- требовать исключения или исправления неверных или неполных персональных данных;
- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;
- персональные данные оценочного характера дополнить заявлением, выражающим его собственную точку зрения;
- определять своих представителей для защиты своих персональных данных;
- на сохранение и защиту своей личной и семейной тайны.
8.4. Работник обязан:
- передавать работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом РФ.
- своевременно сообщать работодателю об изменении своих персональных данных
8.5. Работники ставят работодателя в известность об изменении фамилии, имени, отчества, что получает отражение в трудовой книжке на основании представленных документов. При необходимости изменяются данные об образовании, профессии, специальности, присвоении нового разряда и пр.
9. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными
9.1. Персональная ответственность – одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.
9.2. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
9.3. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.
9.4. Каждый сотрудник организации, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации. Работники организации несут ответственность за несоблюдение требований к обработке и защите персональных данных, в том числе за разглашение или незаконное использование персональных данных, а также могут быть привлечены к гражданско-правовой, административной и уголовной ответственности в порядке, предусмотренном применимыми нормативными правовыми актами РФ.
9.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
9.5.1. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять предусмотренные Трудовым Кодексом дисциплинарные взыскания.
9.5.2. Должностные лица, в обязанность которых входит ведение персональных данных, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации – влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.
9.5.3. В соответствии с Гражданским Кодексом лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на работников.
9.5.4. Уголовная ответственность за нарушение неприкосновенности частной жизни ( в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с УК РФ.
9.6. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.
10. Заключительные положения
Настоящая Политика вводится в действие и становится обязательной для исполнения всеми работниками организации с момента ее утверждения.
Настоящая Политика может быть изменена в любой момент времени по усмотрению организации.
В случае, если по тем или иным причинам одно или несколько положений настоящей Политики будут признаны недействительными или не имеющими юридической силы, данные обстоятельства не оказывают влияния на действительность или применимость остальных положений Политики.
Политика в отношении обработки персональных данных организации публикуется на официальном сайте организации в информационно-телекоммуникационной сети «Интернет». К Политике обеспечивается неограниченный доступ до момента внесения записи об исключении из Единого государственного реестра юридических лиц организации.