Положение

об обработке и защите персональных данных

Индивидуальный предприниматель Нечаева Надежда Михайловна ИНН 263505349265, ОГРНИП 320265100038434

Ставрополь

1. Общие положения
2. Настоящее Положение об обработке и защите персональных данных Индивидуального предпринимателя Нечаевой Надежды Михайловны ИНН 263505349265, ОГРНИП 320265100038434 (далее – Положение) разработано на основании Конституции Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и защите информации» и других нормативно-правовых актов Российской Федерации.
3. Настоящее Положение устанавливает порядок приема, получения, поиска, сбора, систематизации, накопления, хранения, уточнения, обновления, изменения, использования, распространения (в том числе передачи), обезличивания, блокирования, уничтожения, учета документов, содержащих сведения, отнесенные к персональным данным субъектов персональных данных Индивидуального предпринимателя Нечаевой Надежды Михайловны ИНН 263505349265, ОГРНИП 320265100038434 (далее – Компания) с использованием средств автоматизации или без использования таких средств.
4. Целью настоящего Положения является защита персональных данных субъектов персональных данных Компании от несанкционированного доступа и разглашения, неправомерного их использования или утраты. Персональные данные являются конфиденциальной, строго охраняемой информацией.
5. Основные термины и определения, применяемые в настоящем Положении:
6. Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативно- правовыми актами Российской Федерации в области трудовых и гражданско-правовых отношений, Положением об обработке и защите персональных данных и приказами Компании.
7. Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
8. Распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно- телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
9. Использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
10. Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
11. Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
12. Обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
13. Информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
14. Конфиденциальность персональных данных — обязательное для соблюдения Компанией или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Обеспечения конфиденциальности персональных данных не требуется:

• в случае обезличивания персональных данных;
• в отношении общедоступных персональных данных.

1. Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных (Прил. 6) могут включаться фамилия, имя, отчество, год и место рождения, адрес, сведения о профессии и иные персональные данные, предоставленные данным субъектом.

Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта или по решению Компании, либо по решению суда или иных уполномоченных государственных органов.

1. Трансграничная передача персональных данных – передача персональных данных через Государственную границу Российской Федерации органу власти иностранного государства, физическому лицу или юридическому лицу иностранного государства.
2. Работники — лица, имеющие трудовые отношения с Компанией, либо кандидаты на вакантную должность, вступившие с Компанией в отношения по поводу приема на работу.
3. Оператор — лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.
4. К субъектам персональных данных в Компании (далее – субъекты) относятся лица – носители персональных данных, передавшие свои персональные данные Компании (как на добровольной основе, так и в рамках выполнения требований нормативно-правовых актов) для приема, получения, поиска, сбора, систематизации, накопления, хранения, уточнения, обновления, изменения, использования, распространения (в том числе передачи), обезличивания, в том числе:

• работники Компании, включая совместителей;
• лица, выполняющие работы по договорам гражданско-правового характера;
• лица, проходящие профессиональное обучение и стажировку;
• иные лица, предоставляющие персональные данные Компании.

1. Персональные данные защищаются от несанкционированного доступа в соответствии с нормативно-правовыми актами Российской Федерации, нормативно-распорядительными актами и рекомендациями регулирующих органов в области защиты информации, а также утвержденными регламентами и инструкциями Компании.
2. Сбор, хранение, использование и распространение персональных данных лица без письменного его согласия не допускаются. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75-летнего срока хранения, если иное не определено законом.
3. Должностные лица Компании, в обязанности которых входит ведение персональных данных субъектов персональных данных, обязаны обеспечить каждому субъекту возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
4. Персональные данные не могут быть использованы в целях:

• причинения имущественного и морального вреда гражданам;
• затруднения реализации прав и свобод граждан Российской Федерации.

1. Настоящее Положение и изменения к нему утверждаются Компанией, являются обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным субъектов персональных данных Компании. Все работники Компании должны быть ознакомлены с настоящим Положением в редакции, действующей на момент указанного ознакомления (Прил.1).

1. Принципы обработки персональных данных

1. Обработка персональных данных в Компании осуществляется на основе следующих принципов:

• законности целей и способов обработки персональных данных и добросовестности;
• соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Компании;
• соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
• достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Персональные данные подлежат уничтожению по достижению целей обработки или в случае утраты необходимости в их достижении.
2. Субъект персональных данных является собственником своих персональных данных и самостоятельно решает вопрос передачи Компании своих персональных данных.
3. Держателем персональных данных является Компания, которой субъект персональных данных добровольно передает во владение свои персональные данные. Компания выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.
4. Потребителями (пользователями) персональных данных являются юридические и физические лица, обращающиеся к собственнику и (или) держателю персональных данных за получением необходимых сведений и пользующиеся ими без права передачи, разглашения.
5. Получение, хранение, комбинирование, передача или любое другое использование персональных данных субъекта персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов, иных нормативных правовых актов и условий договоров, содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников и обучающихся, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

1. Понятие и состав персональных данных

1. Под персональными данными субъектов персональных данных понимается информация, необходимая Компании в связи с трудовыми и гражданско-правовыми отношениями и касающаяся конкретного субъекта персональных данных (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное и имущественное положение, образование, профессия, доходы), а также сведения о фактах, событиях и обстоятельствах жизни субъекта, позволяющие идентифицировать его личность. Персональные данные являются конфиденциальной информацией. К персональным данным относятся следующие сведения и документы:

• анкетные и биографические данные;
• образование;
• сведения о трудовом и общем стаже;

• сведения о предыдущем месте работы работника;
• сведения о составе семьи;
• паспортные данные;
• сведения о воинском учете;
• сведения о заработной плате работника, иных выплатах субъектам персональных данных (включая стипендии);
• сведения о социальных льготах;
• специальность;
• занимаемая должность;
• наличие судимостей;
• адрес места жительства (пребывания), номер телефона;
• место работы или учебы членов семьи и родственников;
• содержание трудового договора (контракта);
• состав декларируемых сведений о наличии материальных ценностей;
• содержание деклараций, подаваемых в налоговую инспекцию;
• подлинники и копии приказов по личному составу;
• основания к приказам по личному составу;
• личные дела, личные карточки (форма Т-2) и трудовые книжки сотрудников;
• дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
• анкеты, заполняемые субъектами персональных данных;
• копии документов об образовании;
• результаты медицинского обследования;
• рекомендации, характеристики;
• фотографии;
• копии отчетов, направляемые в органы статистики;
• документы, оформляемые в рамках исполнения договоров гражданско-правового характера и т.п.

1. Данные документы являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения, если иное не определено законом.

1. Получение, обработка и хранение персональных данных

1. Компания получает сведения о персональных данных субъектов персональных данных из следующих документов:

• паспорт или иной документ, удостоверяющий личность;
• трудовая книжка;
• страховое свидетельство государственного пенсионного страхования;
• свидетельство о постановке на учет в налоговом органе, содержащее сведения об идентификационном номере налогоплательщика;
• документы воинского учета, содержащие сведения о воинском учете военнообязанных и лиц, подлежащих призыву на военную службу;
• документ об образовании, о квалификации или о наличии специальных знаний или специальной подготовки, содержащий сведения об образовании, профессии;
• анкета, заполняемая при приеме на работу, поступлении на обучение (в том числе при подаче заявлений на конкурс при поступлении или занятии рабочих мест, предполагающих конкурсный отбор, резюме);
• иные документы и сведения, предоставляемые субъектом персональных данных при приеме на работу, обучение, а также в процессе работы, обучения, заключении договора гражданско-правового характера.

Субъект персональных данных обязан представлять Компании достоверные сведения о себе. Компания имеет право проверять достоверность указанных сведений в порядке, не противоречащем законодательству Российской Федерации.

1. Обработка персональных данных субъекта персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия в трудоустройстве, обучении, продвижении по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы и качества освоения учебного материала, обеспечения сохранности имущества, выполнения условий договоров гражданско-правового характера.
2. Все персональные данные субъекта персональных данных Компания получает непосредственно у указанных субъектов. Ответственный сотрудник принимает от субъекта документы, проверяет их полноту и правильность указываемых сведений.
3. Если персональные данные субъекта персональных данных возможно получить исключительно у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (Прил.3). Компания должна сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта представить письменное согласие на их получение (Прил. 4).
4. Условием обработки персональных данных субъекта персональных данных является наличие его письменного согласия (Прил. 5) в случаях, когда закон не позволяет осуществлять такую обработку без письменного согласия. Письменное согласие субъекта на обработку его персональных данных должно включать в себя:

• фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование и адрес оператора персональных данных;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие субъекта;
• перечень действий с персональными данными, на совершение которых дается согласие;
• срок, в течение которого действует согласие, а также порядок его отзыва;
• подпись субъекта персональных данных.

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

1. Согласия субъекта на обработку его персональных данных не требуется в следующих случаях:

• обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
• обработка персональных данных осуществляется в целях исполнения договора или соглашения между субъектом персональных данных и Компанией;
• обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение его согласия при данных обстоятельствах невозможно;
• обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи;
• осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами.

1. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.
2. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных в письменной форме дает его законный представитель.

В случае смерти субъекта согласие на обработку его персональных данных при необходимости дает в письменной форме один из его наследников, если такое согласие не было дано субъектом персональных данных при его жизни.

1. В случае, если Компания на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
2. Субъекты персональных данных и их представители должны быть ознакомлены с документами Компании, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
3. Документы, содержащие персональные данные работника, составляют его личное дело. Документы, содержащие персональные данных обучающегося, составляют его личное дело.

Личное дело хранится уполномоченным лицом на бумажных носителях, помимо этого может храниться в виде электронных документов баз данных. Личное дело пополняется на протяжении всей трудовой деятельности работника.

Письменные доказательства получения оператором согласия субъекта персональных данных на их обработку хранятся в личном деле.

1. При обработке персональных данных Компания вправе определять способы обработки, документирования, хранения и защиты персональных данных на базе современных информационных технологий.
2. Приказом Компании назначается лицо, ответственное за организацию обработки персональных данных в Компании. Круг лиц, допущенных к работе с документами, содержащими персональные данные субъектов, определяется приказом Компании.
3. Организация обеспечения техническими средствами обработки (ПЭВМ, серверами и т.д.) и их исправной работы организуется Компанией.
4. Помещения, в которых хранятся персональные данные субъектов, оборудуются надежными замками.

Для хранения персональных данных используются специально оборудованные шкафы или сейфы, которые запираются на ключ.

Помещения, в которых хранятся персональные данные субъектов, в рабочее время при отсутствии в них работников должны быть закрыты.

Проведение уборки помещений, в которых хранятся персональные данные, должно производиться в присутствии соответствующих работников.

5. Права и обязанности сторон в области защиты персональных данных

1. Субъект персональных данных обязан:

• передавать Компании или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен законодательством РФ и/или условиями договора, включая сведения об образовании, специальных знаниях, стаже работы, отношении к воинской обязанности, гражданстве, месте жительства и др.
• своевременно, в срок, не превышающий одного месяца, сообщать Компании об изменении своих персональных данных.

1. Субъект персональных данных имеет право:
2. На полную информацию о своих персональных данных и об их обработке.
3. На свободный бесплатный доступ к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральными законами. Доступ к своим персональным данным предоставляется субъекту или его законному представителю Компанией при личном обращении либо при получении запроса (Прил. 7). Запрос должен содержать номер основного документа, удостоверяющего личность субъекта или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

1. На доступ к относящимся к субъекту медицинским данным с помощью (с участием) медицинского специалиста по их выбору.
2. Требовать от Компании исключения, исправления или уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также данных, обработанных с нарушением требований законодательства РФ. Указанное требование должно быть оформлено письменным заявлением субъекта персональных данных на имя Компании.
3. При отказе оператора исключить или исправить персональные данные субъекта, он имеет право заявить в письменной форме оператору (Компании) о своем несогласии с соответствующим обоснованием такого несогласия. При отклонении оператором указанного обращения (несогласия), субъект персональных данных имеет право обжаловать действия оператора в порядке, предусмотренном законодательством России.
4. Получать сведения о Компании, о месте ее нахождения, о наличии у Компании персональных данных, относящихся к соответствующему субъекту персональных данных.
5. Субъект персональных данных не должен отказываться от своих прав на сохранение и защиту охраняемой законом тайны.
6. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных п. 5.5 настоящего Положения.
7. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия субъекта в письменной форме (Прил. 5) или в случаях, предусмотренных федеральными законами.
8. Компания обязана рассмотреть возражение субъекта персональных данных в течение семи рабочих дней со дня его получения и уведомить его о результатах рассмотрения такого возражения.
9. Если обязанность предоставления персональных данных субъектом установлена федеральным законом (включая налоговое, трудовое право), Компания обязана разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.
10. Если персональные данные были получены не от субъекта (за исключением случаев, если персональные данные были предоставлены Компании на основании федерального закона или если персональные данные являются общедоступными), Компания до начала обработки таких персональных данных обязана предоставить субъекту персональных данных следующую информацию (Прил. 8):
11. наименование и адрес оператора или его представителя;
12. цель обработки персональных данных и ее правовое основание;
13. предполагаемые пользователи персональных данных;
14. права субъекта в области защиты персональных данных.
15. В случае выявления недостоверных персональных данных или неправомерных действий с ними Компания обязана осуществить блокирование персональных данных, относящихся к соответствующему субъекту, с момента получения такой информации на период проверки. В случае подтверждения факта недостоверности персональных данных Компания на основании соответствующих документов обязана уточнить персональные данные и снять их блокирование.
16. В случае достижения цели обработки персональных данных Компания обязана незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных.
17. В случае отзыва субъектом согласия на обработку своих персональных данных Компания обязана прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением сторон и (или) федеральным законом. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных (Прил.9).

1. Доступ к персональным данным субъекта и их передача

1. Внутренний доступ (доступ внутри Компании) к персональным данным субъектов имеют сотрудники структурных подразделений Компании, которым эти данные необходимы для выполнения должностных обязанностей.
2. Право доступа к персональным данным субъекта имеют сотрудники Компании, непосредственно уполномоченные на обработку персональных данных локальным нормативным актом Компании, а также сами субъекты персональных данных.

После прекращения юридических отношений с субъектом персональных данных (увольнения работника, окончания срока действия договора и т.п.) документы, содержащие его персональные данные, хранятся в Компании в течение сроков, установленных архивным и иным законодательством РФ.

1. Внешний доступ.
2. К числу массовых потребителей персональных данных вне Компании относятся следующие государственные и негосударственные структуры:

• налоговые органы;
• правоохранительные органы;
• органы лицензирования и сертификации;
• органы прокуратуры и ФСБ;
• органы статистики;
• страховые агентства;
• военкоматы;
• органы социального страхования;
• пенсионные фонды;
• подразделения государственных и муниципальных органов управления.

1. Надзорно-контрольные органы имеют доступ к информации исключительно в сфере своей компетенции.
2. Внешний доступ со стороны третьих лиц к персональным данным субъекта осуществляется с его письменного согласия, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью субъекта или других лиц, и иных случаев, установленных законодательством РФ.
3. Оператор обязан сообщать персональные данные субъекта по надлежаще оформленным запросам суда, прокуратуры и иных правоохранительных органов.
4. Сведения о субъекте персональных данных могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии заявления работника.
5. Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта персональных данных.
6. В случае развода бывшая супруга (супруг) имеют право обратиться в Компанию с письменным запросом о размере заработной платы работника без его согласия в соответствии с нормами трудового и семейного законодательства РФ.
7. При передаче персональных данных Компания должна соблюдать следующие требования:
8. Не сообщать персональные данные субъекта третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральными законами.
9. Не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия.
10. Предупреждать лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными в порядке, установленном федеральными законами.
11. Не запрашивать информацию о состоянии здоровья субъекта, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции и возможности обучения.
12. Передавать персональные данные субъекта представителям работников и иных категорий субъектов персональных данных в порядке, установленном Трудовым кодексом Российской Федерации и Федеральным законом от 27.07.2006 № 152-ФЗ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
13. Разрешать доступ к персональным данным исключительно специально уполномоченным лицам (при этом указанные лица должны иметь право получать лишь те персональные данные, которые необходимы для выполнения конкретных функций).

Потребители персональных данных должны подписать обязательство о неразглашении персональных данных (Прил. 2).

1. Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
2. Ответы на правомерные письменные запросы других предприятий, учреждений и организаций даются с разрешения Компании в письменной форме, в том объеме, который позволяет не разглашать излишний объем персональных сведений.
3. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону.
4. Сведения передаются в письменной форме и должны носить конфиденциальный характер.
5. Защита персональных данных
6. Комплекс мер по защите персональных данных направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивает безопасность информации в процессе управленческой и производственной деятельности Компании.
7. Компания при обработке персональных данных обязана принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в соответствии с требованиями к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требованиями к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных, установленными Правительством Российской Федерации.
8. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением технологий хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
9. Мероприятия по защите персональных данных подразделяются на внутреннюю и внешнюю защиту.
10. «Внутренняя защита» включает следующие организационно-технические мероприятия:
11. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководством и специалистами Компании.
12. Для защиты персональных данных в Компании применяются следующие принципы и правила:

• ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные;
• строгое избирательное и обоснованное распределение документов и информации между сотрудниками;
• рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации;
• знание сотрудниками требований нормативно-методических документов по защите персональных данных;
• наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
• определение и регламентация состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится соответствующая вычислительная техника;
• организация порядка уничтожения информации;
• своевременное выявление нарушений требований разрешительной системы доступа сотрудниками подразделения;
• воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
• защита паролями доступа персональных компьютеров, на которых содержатся персональные данные.

1. Личные дела работников могут выдаваться на рабочие места только Компании и в исключительных случаях, по письменному разрешению Компании, руководителю структурного подразделения.
2. «Внешняя защита» включает следующие организационно-технические мероприятия:
3. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией.
4. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.

Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности Компании, посетители, сотрудники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в подразделениях, использующих персональные данных.

1. Для   защиты   персональных данных соблюдается   ряд   мер   организационно- технического характера:

• порядок приема, учета и контроля деятельности посетителей;
• технические средства охраны, сигнализации;
• порядок охраны территории, зданий, помещений, транспортных средств;
• требования к защите информации при интервьюировании и собеседованиях.

7.5. Порядок конкретных мероприятий по защите персональных данных с использованием

или без использования ЭВМ определяется приказами Компании, иными локальными нормативными актами.

1. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными
2. Персональная ответственность является одним из главных требований к организации функционирования системы защиты персональных данных и обязательным условием обеспечения эффективности функционирования данной системы.
3. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
4. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.
5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут дисциплинарную, административную, гражданско- правовую или уголовную ответственность в соответствии с федеральными законами.
6. Каждый сотрудник Компании, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность полученной информации.
7. Должностные лица, в обязанность которых входит ведение персональных данных, обязаны обеспечить каждому субъекту персональных данных возможность ознакомления с документами и материалами, если иное не предусмотрено законом.

Неправомерный отказ в предоставлении собранных в установленном порядке персональных данных, либо несвоевременное их предоставление в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации влечет наложение на должностных лиц административного наказания в порядке, установленном Кодексом Российской Федерации об административных правонарушениях.

1. В соответствии с Гражданским кодексом РФ лица, незаконными методами получившие информацию, составляющую персональные данные, обязаны возместить причиненные убытки; такая же обязанность возлагается и на работников, не обладающих правом доступа к персональным данным.
2. Уголовная ответственность за нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения влечет наложение наказания в порядке, предусмотренном Уголовным кодексом РФ.
3. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.

Приложение 1

Расписка

об ознакомлении субъекта персональных данных с Положением об обработке и защите персональных данных

Я, ____________________________________________________________________________,

(должность, Ф.И.О.)

ознакомлен с Положением об обработке и защите персональных данных ИП Нечаевой Надежды Михайловны.

___________________________ ______________________________ _______________________________________

                              дата                                            подпись                                              расшифровка подписи

Приложение 2

Обязательство

o неразглашении персональных данных

Я, _____________________________________________________________________________,

(должность, Ф.И.О.)

ознакомлен с Положением об обработке и защите персональных данных ИП Нечаевой Надежды Михайловны и обязуюсь не разглашать сведения, содержащие персональные данные субъектов персональных данных, ставшие мне известными в связи с исполнением мною трудовых (должностных) обязанностей. Об ответственности за разглашение указанных сведений предупрежден.

___________________________ ______________________________ _______________________________________

                              дата                                            подпись                                              расшифровка подписи

Приложение 3

Письменное согласие субъекта персональных данных на получение его персональных данных у третьих лиц

Я, _____________________________________________________________________________,

(должность, Ф.И.О.)

согласен на получение оператором (ИП Нечаева Надежда Михайловна) от_________________

_______________________________________________________________________________

(Ф.И.О. или наименование третьего лица)

следующей информации __________________________________________________________

________________________________________________________________________________________________________________________________________________________________

(виды запрашиваемой информации и (или) документов)

___________________________ ______________________________ _______________________________________

                              дата                                            подпись                                              расшифровка подписи

Приложение 4

Уведомление

Уважаемый _________________________________________________________________________________________________________________

(Ф.И.О.)

В связи ________________________________________________________________________________________________________________________

__________________________________________________________________________________________________________________________________

(указать причину)

у ИП Нечаевой Надежды Михайловны возникла необходимость получения следующей информации, составляющей Ваши персональные данные_______________________________________

_______________________________________________________________________________________.

(перечислить информацию)

Просим Вас предоставить указанные сведения ______________________________________________       

                                (кому)

в течение трех рабочих дней с момента получения настоящего уведомления.

В случае невозможности предоставить указанные сведения просим в указанный срок дать письменное согласие на получение оператором (ИП Нечаева Надежда Михайловна) необходимой информации из следующих источников_____________________________________________________

______________________________________________________________________________________,

(указать источники)

следующими способами: ________________________________________________________________.

(автоматизированная обработка, иные способы)

По результатам обработки указанной информации оператором планируется принятие следующих решений, которые будут доведены до Вашего сведения_______________________________________

______________________________________________________________________________________.

(указать решения и иные юридические последствия обработки информации)

Против принятого решения Вы имеете право заявить свои письменные возражения в_________________________срок.

Информируем Вас о последствиях Вашего отказа дать письменное согласие на получение оператором указанной информации________________________________________________________

______________________________________________________________________________________.

(перечислить последствия)

Информируем Вас о Вашем праве в любое время отозвать свое письменное согласие на обработку персональных данных.

___________________________ ______________________________ _______________________________________

                              дата                                            подпись                                              расшифровка подписи

Настоящее уведомление на руки получил:

___________________________ ______________________________ _______________________________________

           дата                                            подпись                                              расшифровка подписи

Приложение 5

СОГЛАСИЕ

на обработку персональных данных

Я, ____________________________________________________________________________________,

(Ф.И.О. полностью)

_______________________________________________________________________________________________

(данные паспорта)

___________________________________________________________________________________________________________________________________

________

(зарегистрированный по адресу)

выражаю согласие на обработку моих персональных данных ИП Нечаевой Надежде Михайловне (Оператор), находящейся по адресу: Ставропольский край, г. Ставрополь, ул. Пржевальского, д.12, кв. 30, включая выполнение действия по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению) распространению (в том числе передаче) моих персональных данных, входящих в следующий перечень сведений:

1.Фамилия, имя, отчество. 2.Паспортные данные.

3.Место регистрации и место жительства. 4.Контактные телефоны.

1. .Сведения о профессии, должности, образовании.
2. .№ страхового свидетельства государственного пенсионного страхования. 7.Идентификационный номер налогоплательщика.

8.Сведения о составе семьи. 9.Сведения о воинском учете. 10.Иные сведения.

Для целей обеспечения соблюдения законов и иных нормативных правовых актов, контроля количества и качества выполняемой работы и обеспечения сохранности имущества и своей личной безопасности, выражаю согласие на получение и передачу моих персональных данных путем подачи и получения запросов в:

• налоговую инспекцию, социальный фонд России и др.;
• страховые компании;
• военкомат (для организации и ведения воинского учета);
• лечебные заведения (с целью проведения медицинских осмотров);
• банки (оформление пластиковых карт);

-иные государственные, муниципальные и другие учреждения и предприятия, независимо от их организационно-правовой формы и вида собственности.

Вышеприведенное согласие на обработку моих персональных данных представлено с учетом п. 2 ст. 6 и п. 2 ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», в соответствии с которыми обработка персональных данных, осуществляемая на основе федерального закона либо для исполнения договора, стороной в котором я являюсь, может осуществляться Оператором без моего дополнительного согласия.

Настоящее согласие может быть отозвано путем направления в адрес Оператора письменного заявления, содержащего сведения об осведомленности субъекта персональных данных с юридическими последствиями такого отзыва.

Настоящее согласие вступает в силу с момента его подписания на срок действия договора с Оператором.

_______________________________ ______________________________ _______________________________________

                              дата                                            подпись                                              расшифровка подписи

Приложение 6

Согласие субъекта персональных данных на включение информации о его персональных данных в

_________________________________________________________________________

(справочник, каталог и др. общедоступные источники)

Я, ____________________________________________________________________________________,

(должность, Ф.И.О.)

согласен на включение оператором (ИП Нечаева Надежда Михайловна) в корпоративный справочник___________________________________________________(иные источники) следующей информации, содержащей мои персональные данные: фамилия, имя, отчество, год и место рождения, адрес, сведения о профессии_____________________________________________________

____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________, иные персональные данные.

___________________________ ______________________________ ______________________________________________

                              дата                                            подпись                                              расшифровка подписи

Приложение 7

Запрос о доступе субъекта персональных данных к своим персональным данным

_______________________________________________________________________________________

(наименование и адрес оператора)

От_________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.

(Ф.И.О., номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе)

Прошу предоставить мне для ознакомления следующую информацию (документы), составляющие мои персональные данные: ______________________________________________________________

_____________________________________________________________________________________.

(перечислить)

___________________________ ______________________________ ______________________________________________

                              дата                                            подпись                                              расшифровка подписи

Приложение 8

Уведомление

Уважаемый ____________________________________________________________________________

(Ф.И.О.)

на основании_____________________________________________ ИП Нечаева Надежда Михайловна (оператор) получила от___________________________________________________________________

(наименование организации, адрес)

следующую информацию, содержащую Ваши персональные данные: __________________________

______________________________________________________________________________________.

(перечислить)

Указанная информация будет обработана и использована оператором в целях:____________________

_____________________________________________________________________________________________________________________________________________________________________________.

Вы имеете право на полную информацию о своих персональных данных, содержащуюся у оператора, свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей Ваши персональные данные, за исключением случаев, предусмотренных действующим законодательством; требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав, получать иную информацию, касающуюся обработки Ваших персональных данных.

___________________________ ______________________________ ______________________________________________

                              дата                                            подпись                                              расшифровка подписи

Настоящее уведомление на руки получил:

___________________________ ______________________________ ______________________________________________

                              дата                                            подпись                                              расшифровка подписи

Приложение 9

Уведомление об уничтожении,

(изменении, прекращении обработки, устранении нарушений персональных данных)

Уважаемый ___________________________________________________________________________.

(Ф.И.О.)

В связи с_____________________________________________________________ (недостоверностью, выявлением неправомерных действий с Вашими персональными данными, достижением цели обработки, отзывом Вами согласия на обработку, другие причины) сообщаем Вам, что обработка Ваших персональных данных о ___________________________________________________________

__________________________________________________________________________________________

(перечислить)

прекращена и указанная информация подлежит уничтожению (изменению).

___________________________ ______________________________ _______________________________________

                              дата                                            подпись                                              расшифровка подписи

Настоящее уведомление на руки получил:

___________________________ ______________________________ _______________________________________

                              дата                                            подпись                                              расшифровка подписи