1.Общие положения
1.1. Настоящее положение является локальным правовым актом Индивидуального предпринимателя Меняйло Дмитрия Михайловича, являющегося оператором персональных данных.
1.2. Настоящее положение устанавливает порядок осуществления операций с персональными данными сотрудников предприятия, клиентов, контрагентов-физических лиц.
1.3. Настоящее положение разработано в целях:
- регламентации порядка осуществления операций с персональными данными;
- обеспечения требований Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ и иных правовых актов, регулирующих использование персональных данных;
- установления прав и обязанностей сотрудников ИП Меняйло Дмитрий Михайлович в части работы с персональными данными
- установления механизмов ответственности сотрудников предприятия за нарушение локальных норм, а также положений федерального, регионального и муниципального законодательства, регулирующих использование персональных данных.
- Настоящее положение вступает в силу в момент его утверждения отдельным приказом Директора ИП Меняйло Дмитрий Михайловичи действует бессрочно до замены новым локальным правовым актом аналогичного назначения.
- Корректировка настоящего положения осуществляется отдельными приказами Директора предприятия.
- Все сотрудники ИП Меняйло Дмитрий Михайлович осуществляющие работу с персональными данными ознакамливаются с настоящим положением в специальном журнале учета под роспись.
- Ограничение несанкционированного доступа к персональным данным обеспечивается ИП Меняйло Дмитрий Михайлович и снимается в момент их обезличивания, а также по истечении 75 лет их хранения, если иное не установлено законом или решением Директора.
- Основным инфраструктурным ресурсом ИП Меняйло Дмитрий Михайловичдля осуществления операций с персональными данными являются информационные системы, представляющие собой:
- комплексы автоматизированной обработки персональных данных (позволяющих осуществлять операции с персональными данными в виде файлов, доступ к которым регулируется в соответствии с положениями локальных правовых актов предприятия, федеральных, региональных и муниципальных НПА);
- документацию на бумажных носителях (доступ к которым также осуществляется в соответствии с положениями локальных правовых актов и законодательства РФ).
2. Критерии отнесения информации к персональным данным
2.1. Настоящее положение устанавливает, что к персональным данным физического лица относятся любая информация о нем, в том числе Ф. И. О., дата, место рождения, адрес регистрации и/или проживания, семейное положение, образование, данные паспорта, иных документов, удостоверяющих личность, данные трудоустройства, любых специализированных персонифицированных учетов, в том числе воинского учета ГИАЦ МВД России и иных; контактные данные, в том числе номера телефонов, адреса электронной почты, уровень доходов.
2.3. Достоверность персональных данных физических лиц определяется исходя из их изначального размещения в таких документах как:
- паспорт или иной источник, удостоверяющий личность;
- трудовая книжка (за исключением тех случаев, когда ИП Меняйло Дмитрий Михайлович является для сотрудника первым работодателем, либо участвует в восстановлении утерянной трудкнижки);
- свидетельство пенсионного страхования;
- военный билет и иные документы воинского учета;
- диплом об образовании;
- свидетельство о наличии ИНН;
- водительское удостоверение;
- иные документы, выданные уполномоченными органами, либо заполненные физическим лицом самостоятельно;
- Договоры, акты и любые иных соглашения, заключенные с субъектом персональных данных;
2.4. Сотрудник ИП Меняйло Дмитрий Михайлович, ответственный за осуществление операций с персональными данными обеспечивает проверку вышеперечисленных документов, содержащих персональные данные сотрудников, на предмет подлинности, а также обеспечивает при необходимости их временное хранение в установленном порядке.
3. Операции с персональными данными
3.1. Настоящее положение устанавливает, что ИП Меняйло Дмитрий Михайлович осуществляет следующие операции с персональными данными работников и клиентов:
- получение;
- обработка;
- передача;
- блокирование; хранение;
- ликвидация.
3.2. Под получением персональных данных понимается последовательность действий, связанных с установлением достоверности соответствующих данных, а также размещением их в информационных системах ИП Меняйло Дмитрия Михайловича.
- Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, прочтение, корректировка или дополнение соответствующих данных, совершаемые уполномоченным лицом ИП Меняйло Дмитрия Михайловича.
- Под передачей персональных данных понимается операция:
- по адресному размещению соответствующих данных на носителях и серверах, доступ
к которым имеют сотрудники ИП Меняйло Дмитрия Михайловича, либо третьи лица;
- по предоставлению персональных данных по запросу третьих лиц;
- по размещению персональных данных в источниках внутрикорпоративного документооборота;
- по опубликованию в интересах предприятия персональных данных в СМИ или на серверах интернета в соответствии с нормами действующего законодательства.
- Под блокированием персональных данных понимается временный запрет на осуществление каких-либо операций с персональными данными, которые находятся в информационных системах, в случаях, предусмотренных положениями локальных правовых актов ИП Меняйло Дмитрий Михайловичи действующего законодательства.
- Под хранением персональных данных понимается совокупность операций, направленных на обеспечение целостности соответствующих данных посредством их размещения в информационных системах ИП Меняйло Дмитрия Михайловича.
- Под ликвидацией персональных данных понимается операция по изъятию соответствующих данных из информационных систем ИП Меняйло Дмитрия Михайловича, а также обеспечению невозможности их восстановления.
4. Порядок осуществления операций с персональными данными
4.1. Получение персональных данных (документов, на которых они зафиксированы) осуществляется непосредственно от физического лица, являющегося субъектом персональных данных. В случае если предоставление соответствующих данных возможно только от третьих лиц, то такое получение возможно с письменного согласия субъекта персональных данных на это.
4.2. ИП Меняйло Дмитрий Михайлович не имеет права требовать и получать персональные данные физического лица, отражающие личные аспекты его жизни, религиозные, политические, философские взгляды.
4.3. Обработка персональных данных физического лица может осуществляться только с его письменного согласия за исключением тех случаев, что предусмотрены подп. 2–11 п. 1 ст. 6 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ.
4.4. Передача персональных данных осуществляется с учетом специфики конкретной информационной системы с обязательного отдельного согласия физического лица на такую передачу, в срок, определенный данным согласием.
4.4.1. Если используется цифровая ИС (предназначенная для автоматизированной обработки персональных данных), то передача данных осуществляется по защищенным каналам связи, а также при задействовании средств криптозащиты.
4.4.2. Если используется ИС на основе бумажных носителей, то передача данных осуществляется посредством перемещения или копирования содержимого данных носителей при участии сотрудников предприятия, имеющих доступ к соответствующей ИС, который устанавливается Директором.
4.5. Блокирование персональных данных на предприятии осуществляется с учетом специфики конкретной ИС.
4.5.1. Если используется цифровая ИС, то блокирование данных осуществляется посредством закрытия доступа к файлам при задействовании средств криптозащиты.
4.5.2. Если используется ИС на основе бумажных носителей, то блокирование данных осуществляется посредством закрытия физического доступа к соответствующей ИС для определенных групп сотрудников.
4.6. Хранение персональных данных осуществляется с учетом специфики конкретной ИС.
4.6.1. Если используется цифровая ИС, то хранение данных осуществляется на сервере, расположенном в РФ и принадлежащем или арендуемом ИП Меняйло Дмитрия Михайловича.
4.6.2. Если используется ИС на основе бумажных носителей, то хранение данных осуществляется уполномоченным сотрудником ИП Меняйло Дмитрия Михайловича, в хранилище снабженном запорной системой, исключающей несанкционированный свободный доступ к персональными данным третьих лиц.
4.7. Ликвидация персональных данных осуществляется с учетом специфики конкретной ИС.
4.7.1. Если используется цифровая ИС, то ликвидация данных осуществляется посредством их удаления с сервера, на котором расположена ИС физически.
4.7.2. Если используется ИС на основе бумажных носителей, то ликвидация данных осуществляется посредством уничтожения соответствующих носителей с помощью специальных технических средств.
5. Организация доступа к персональным данным
5.1. Доступ к персональным данным, не требующий подтверждения и не подлежащий ограничению, имеют:
- Директор предприятия;
- сотрудники, уполномоченные на осуществление кадровой работы;
- сотрудники бухгалтерии предприятия;
- сотрудники, ответственные за экономическую и информационную безопасность, внутренний контроль;
- сотрудники, осуществляющие сбор и передачу персональных данных для обработки и хранения, только для целей таких сбора и передачи персональных данных;
5.2. Доступ к персональным данным иных лиц может быть разрешен только отдельным приказом Директора.
6. Обязанности сотрудников, имеющих доступ к персональным данным
6.1. Сотрудники ИП Меняйло Дмитрий Михайловичи другие лица, имеющие доступ к персональным данным, обязаны:
- осуществлять операции с персональными данными при соблюдении норм, установленных настоящим положением, а также федеральных, региональных и муниципальных нормативных актов;
- информировать своего непосредственного руководителя и Директора о нештатных ситуациях, связанных с операциями с персональными данными;
- обеспечивать конфиденциальность операций с персональными данными;
- обеспечивать сохранность и неизменность персональных данных в случае, если выполняемая задача не предполагает их корректировки или дополнения.
7.Права субъектов персональных данных в части осуществления операций с их персональными данными
7.1. Физическое лицо, передавшее предприятию свои персональные данные, имеет право:
- на получение доступа к соответствующим данным в целях ознакомления с ними; на бесплатное получение копий файлов или бумажных носителей, содержащих персональные данные;
- требовать от предприятия дополнительной обработки, изменения, блокирования или ликвидации персональных данных, если операции с ними противоречат интересам физического лица, осуществляются незаконно, а также в случае, если персональные данные недостоверны;
- получать от предприятия информацию о лицах, имеющих доступ к персональным данным, а также о статистике обращений к персональным данным с их стороны;
- получать от ИП Меняйло Дмитрий Михайлович информацию о дополнительной обработке, блокировании или ликвидации персональных данных, осуществленных по инициативе предприятия.
7.2. Работники ИП Меняйло Дмитрия Михайловича, имеющие доступ к персональным данным сотрудников предприятия, имеют право:
- на получение консультационной поддержки со стороны руководства и других компетентных сотрудников в части осуществления операций с персональными данными;
- на отдачу распоряжений и направление предписаний сотрудникам, передающим персональными данные предприятию, связанных с необходимостью предоставления дополнительной или уточняющей информации в целях обеспечения корректного осуществления операций с персональными данными.
8. Ответственность сотрудников за нарушения правил осуществления операций с персональными данными
8.1. Сотрудники ИП Меняйло Дмитрий Михайловичпри осуществлении операций с персональными данными несут административную, гражданско-правовую, уголовную ответственность за нарушения правил осуществления операций с персональными данными, установленных настоящим положением, а также нормами федерального, регионального и муниципального законодательства РФ.
8.2. Правовые последствия нарушений правил осуществления операций с персональными данными определяются исходя из локальных норм ИП Меняйло Дмитрия Михайловича, а также положений законодательства РФ.