Made on
Tilda
Положение по обработке и защите персональных данных Заказчиков
Положение по обработке и защите персональных данных Заказчиков
Индивидуального предпринимателя Рыбаковой Регины Рифатовны
1. Общие положения
1.1. Настоящее Положение по обработке и защите персональных данных Заказчиков Индивидуального предпринимателя Рыбаковой Регины Рифатовны является локальным нормативным актом и разработано в целях установления порядка получения, хранения и обработки персональных данных Заказчиков-физических лиц, заключивших договоры оказания услуг (далее – Заказчики) с ИП Рыбаковой Р.Р. (далее – Оператор, Компания), обеспечения защиты хранящихся у Оператора персональных данных Заказчиков.
1.2. Настоящее Положение разработано в соответствии с Конституцией РФ, Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», иными нормативными актами, действующими на территории РФ.
1.3. Положение принимается, изменяется, дополняется и отменяется по решению ИП Рыбаковой Р.Р. на основании изданного приказа по основной деятельности.
1.4. Положение вступает в силу со дня утверждения его ИП Рыбаковой Р.Р.
1.5. Положение прекращает свое действие в связи с:
- утверждением новой редакции положения;
- изменения законодательства РФ;
- отменой положения (признанием его утратившим силу).
1.6. Постоянным местом хранения Положения является местонахождение ИП Рыбаковой Р.Р.
1.7. Цель разработки Положения – определение порядка обработки и защиты персональных данных всех Заказчиков Оператора, данные которых подлежат обработке, на основании полномочий Оператора; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных.
2. Основные понятия
Для целей настоящего Положения используются следующие понятия:
2.1. Субъект Персональных данных – физическое лицо, к которому относятся персональные данные.
2.2. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе фамилия, имя и отчество, дата, месяц, год и место рождения, адрес, адрес электронной почты, телефонный номер, фотография, видеоизображение субъекта персональных данных, другая информация, необходимая Компании для исполнения заключенных договоров, выполнения требования законодательства.
2.3. Заказчик (Субъект Персональных данных) – граждане, заключившие гражданско-правовые договоры с Компанией.
2.4. Обработка Персональных данных – действия (операции) с персональными данными, в том числе с использованием средств автоматизации, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Персональных данных.
2.5. Конфиденциальность Персональных данных – обязательное для соблюдения назначенного ответственного лица, получившего доступ к Персональным данным требование не допускать их распространения без согласия субъекта персональных данных или иного законного основания.
2.6. Категории Персональных данных Заказчиков:
- фамилия, имя и отчество;
- дата, месяц, год и место рождения;
- адрес;
- адрес электронной почты;
- телефонный номер;
- фотография, видеоизображение субъекта Персональных данных;
- другие данные, позволяющие идентифицировать Заказчика.
2.7. Персональные данные Заказчиков могут содержаться в следующих документах, образующихся в процессе деятельности Компании:
- заявлениях, обращениях;
- согласиях на обработку персональных данных;
- договорах;
- доверенностях и сопроводительных документах;
- данные по оплатам услуг, содержащие платежные и иные реквизиты Заказчиков;
- иных документах в целях реализации отношений, установленных заключенными договорами, а также действующим законодательством.
2.8. Персональные данные могут быть получены Компанией только от Заказчиков, за исключением полученных из открытых источников. Получение Персональных данных от третьих лиц осуществляется только с согласия субъекта Персональных данных.
2.9. Пользователями Персональных данных Заказчиков являются сотрудники Оператора, использующие Персональные данные Заказчиков для исполнения обязательств по договору, в том числе, обрабатывающие обращения Заказчиков.
2.10. Конфиденциальность, сохранность и защита Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий обеспечивается путем принятия необходимых правовых, организационных, технических мер для защиты от неправомерного или случайного доступа к ним.
2.11. Работа с Персональными данными должна осуществляться только в целях, по перечням и в сроки, которые необходимы для выполнения задач Компании или пользователя Персональных данных.
3. Требования при обработке Персональных данных Заказчиков.
Виды обработки Персональных данных
3.1. Обработка Персональных данных – любое действие (операция) или совокупность действий (операций), совершаемая с использованием средств автоматизации или без использования таковых с Персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Персональных данных.
3.2. Компания при обработке Персональных данных обязана соблюдать общие требования, установленные действующим законодательством.
3.3. Обработка Персональных данных Заказчиков может осуществляться в целях обеспечения соблюдения правовых актов РФ в процессе исполнения заключенных договоров в соответствии с действующим законодательством.
3.4. Компания не получает и не обрабатывает специальные категории Персональных данных, а именно: данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни Заказчиков.
3.5. Способы обработки Персональных данных:
- автоматизированная обработка Персональных данных – обработка с помощью средств вычислительной техники (внутренняя сеть Компании);
- неавтоматизированная обработка Персональных данных – обработка, осуществляемая при непосредственном участии человека;
- смешанная обработка Персональных данных.
3.6. Действия с Персональными данными:
- сбор Персональных данных – действия, направленные не первоначальное получение Компанией Персональных данных от субъектов этих данных;
- запись Персональных данных – действия, направленные на внесение Персональных данных в информационные системы обработки Персональных данных;
- хранение Персональных данных – действия, совершаемые Компанией или уполномоченным лицом, направленные на сохранность Персональных данных;
- использование Персональных данных – действия, свершаемые уполномоченным лицом Компании в целях исполнения договора и требований законодательства;
- распространение Персональных данных – действия, направленные на раскрытие Персональных данных неопределенному кругу лиц;
- предоставление Персональных данных – действия, направленные на раскрытие Персональных данных определенному лицу или определённому кругу лиц;
- блокирование Персональных данных – временное прекращение обработки Персональных данных (за исключением случаев, если обработка необходима для уточнения Персональных данных);
- уничтожение Персональных данных – действия, в результате которых становится невозможным восстановить содержание Персональных данных в информационной системе Персональных данных и/или в результате которых уничтожаются материальные носители Персональных данных;
- уточнение Персональных данных – обновление или изменение Персональных данных, обрабатываемых Компанией на законном основании;
- обезличивание Персональных данных – действия, в результате которых становится невозможным без дополнительной информации определить принадлежность Персональных данных конкретному Субъекту.
3.7. При определении содержания и объема обрабатываемых Персональных данных Компания руководствуется действующим законодательством РФ.
4. Сбор Персональных данных Заказчиков
4.1. Сбор Персональных данных Заказчиков производится в процессе заключения договора, его исполнения, получения доверенности, консультационных и иных обращений.
4.2. Договоры заключаются как непосредственной Заказчиком и Компанией, так и с привлечением уполномоченных лиц.
4.3. Компания получает Персональные данные Субъекта Персональных данных у него самого или у уполномоченного на основании доверенности лица.
4.4. Компания должна сообщить Субъекту Персональных данных о целях, предполагаемых источниках и способах получения Персональных данных, характере подлежащих получению Персональных данных, а также последствиях отказа предоставить его Персональные данные.
4.5. Если предоставление Персональных данных является обязательным в соответствии с федеральным законом, Компания обязана разъяснить Заказчику юридические последствия отказа от предоставления Персональных данных (ст.18 ФЗ «О персональных данных»).
5. Запись, хранение, использование Персональных данных
5.1. Заявления, договоры и другие документы, содержащие Персональные данные, поступает ответственному лицу, которое проводит запись Персональных данных в информационные системы обработки Персональных данных (далее – ИСПДн) и в последствии передаются для хранения.
5.2. Запись Персональных данных в ИСПДн осуществляется непосредственно при заключении договоров.
5.3. Все бумажные документы с Персональными данными заказчиков после их оформления передаются на хранение ответственному лицу Компании, которое осуществляет проверку корректности заполнения документов.
5.4. Персональные данные субъектов, записанные в ИСПДн, защищаются путем принятия необходимых правовых, организационных и технических мер для защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения Персональных данных, а также от иных неправомерных действий.
5.5. Лица, ответственные за запись информации о субъекте обработки, рассмотрение заявлений и запросов имеют доступ к Персональным данным в объеме, необходимом для исполнения трудовых договоров.
5.6. Пользователями Персональных данных Заказчиков являются ответственные работники Компании, обращающиеся за получением необходимым им Персональным данным.
5.7. Пользователями Персональных данных Заказчиков являются ответственные сотрудники Компании, обращающиеся за получением необходимых им Персональных данных и использующие их с передачей или без права передачи третьим лицам, в том числе и другим должностным лицам Оператора.
5.8. Договоры, доверенности и другие документы, содержащие Персональные данные Заказчика, хранятся у Оператор или специализированной организации на основании соответствующего договора. Ответственный сотрудник Компании или специализированная организация обязаны обеспечить выполнение требований действующего законодательства в отношении правил и сроков хранения и использования таких документов.
6. Блокирование, уточнение и уничтожение Персональных данных
6.1. Уничтожение Персональных данных на бумажных носителях в связи с истечением срока обработки Персональных данных, по требованию Субъекта Персональных данных или Уполномоченного органа по обработке персональных данных производится в соответствии с установленным порядком уничтожения Персональных данных.
6.2. Блокирование Персональных данных осуществляется по требованию Субъекта Персональных данных или Уполномоченного органа по обработке персональных данных на срок, необходимый для рассмотрения поступившего требования.
6.3. Блокирование и уточнение Персональных данных осуществляют работники Компании, ответственные за обработку Персональных данных.
Уточнение Персональных данных производится на основании:
- документов, представленных Субъектом Персональных данных либо его доверенным лицом в процессе исполнения договорных отношений;
- документов Уполномоченного органа по обработке персональных данных;
- данных из общедоступных источников.
6.4. Хранение Персональных данных Заказчиков осуществляется в соответствии с действующим законодательством. Уточнению подлежат Персональные данные Заказчиков, договорные отношения с которыми закончились, и не относящихся к категории обязательных к хранению в соответствии с действующим законодательством.
7. Обезличивание Персональных данных.
7.1. Обезличивание Персональных данных производится в целях проведения внутренних исследований, проведения статистических данных для проведения оптимальной политики и формирования целесообразных стратегий Компании.
7.2. Обезличенные Персональные данные должны представлять собой информацию на бумажном, магнитном или ином носителе, принадлежность которой к конкретному физическому лицу невозможно определить в силу произведенных при обработке данных действий.
8. Передача (распространение, предоставление, доступ) Персональных данных
8.1. Персональные данные Субъектов обработки могут быть выданы Компанией уполномоченным органам и организациям только по письменному запросу с указанием причин запроса Персональных данных в соответствии с действующим законодательством.
8.2. Персональные данные Субъекта обработки могут передаваться третьим лицам при наличии его согласия в том числе и в случаях, когда Персональные данные Заказчиков передаются партнеру Компании в соответствии с договором в целях взаимодействия между работниками компаний для выполнения обязательств по договору.
8.3. Ответы на письменные запросы сторонних организаций выдаются в письменной форме и в том объеме, который позволяет не разглашать излишний объем информации, содержащей Персональные данные, и в соответствии с требованиями закона.
8.4. Не требуется согласие Заказчика при передаче его Персональных данных третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в других случаях, предусмотренных законом.
8.5. При передаче Персональных данных Компания обязана соблюдать следующие требования:
- не сообщать Персональные данные, в том числе и устно, третьей стороне без письменного согласия самого субъекта обработки, за исключением случаев, установленных в настоящем Положении и требованиях действующего законодательства;
- предупредить лиц, получающих Персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие Персональные данные, обязаны соблюдать режим секретности (конфиденциальности) и письменно об этом предупреждаются;
- передавать Персональные данные Субъекта обработки его представителям в порядке, установлено законодательством РФ и настоящим Положение, и ограничивать эту информацию только теми Персональными данными, которые необходимы для выполнения представителем его функций.
8.6. Перечень уполномоченных органов, которым в соответствии с действующим законодательством могут передаваться персональные данные Заказчиков без их согласия, установлен законом.
9. Трансграничная передача
9.1. Трансграничная передача данных – это передача данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
9.2. Компания не осуществляет Трансграничную передачу данных.
10. Права и обязанности Заказчиков
10.1. Заказчик обязан:
- предоставить корректные и достоверные Персональные данные;
- своевременно сообщать Оператору об изменении сведений, относящихся к Персональным данным;
10.2. Заказчик имеет право на:
- полную информацию о его Персональных данных и обработку этих данных;
- свободный бесплатный доступ к своим Персональным данным, за исключением случаев, предусмотренных законом;
- определение своих представителей для защиты своих Персональных данных;
- требование об исправлении неверных или неполных Персональных данных;
- обжалование в суд любых неправомерных действий Оператора по обработке и защите Персональных данных;
- отзыв согласия на обработку Персональных данных;
- блокирование обработки Персональных данных;
- требование об уничтожении Персональных данных.
11. Защита Персональных данных
11.1. Защита Персональных данных Субъекта Персональных данных от неправомерного их использования или утраты обеспечивается Компанией всеми доступными способами за счет средств Компании и представляет собой комплекс мер (организационно-распорядительных, технических, юридических), направленных на предотвращение случайного или неправомерного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения Персональных данных Субъектов, а также от иных неправомерных действий.
11.2. Для защиты Персональных данных от действий, указанных в п.11.1. настоящего Положения принимаются меры, предусмотренные ст.18.1. и 19. ФЗ «О персональных данных», требованиями и рекомендациями ФСТЭК и ФСБ. В рамках правовых мер назначается ответственный за обработку Персональных данных, разрабатываются локальные правовые акты. В рамках технических мер внедряются и применяются меры по минимизации доступа, средства разграничения доступа (идентификации и аутентификации субъектов доступа, ограничения количества неудачных попыток доступа), протоколирование фактов доступа к персональным данным и иные средства защиты.
Для каждого вида (типа) ИСПДн разрабатываются модели угроз безопасности Персональных данных. На основании указанных моделей угроз для каждого вида (типа) ИСПД разрабатывается и внедряется система защиты Персональных данных, обеспечивающая нейтрализацию предполагаемых угроз с использованием методов и способов защиты Персональных данных, предусмотренных для каждого класса ИСПДн и реализующая комплекс мер, направленных на предотвращение несанкционированного доступа к Персональным данным и/или передачи их лицам, не имеющим права доступа к такой информации, своевременное обнаружение фактов несанкционированного доступа к Персональным данным; обеспечение возможности незамедлительного восстановления Персональных данных, постоянный контроль обеспечения защищенности Персональных данных.
Хранение Персональных данных организуется на электронных носителях (ИСПДн) с использованием средств обеспечения безопасности, на бумажных носителях – в помещениях и/или шкафах, исключающих несанкционированный доступ.
12. Ответственность за нарушение настоящего Положения
12.1. Лица, виновные в нарушении законодательства о Персональных данных и настоящего Положения, несут дисциплинарную, материальную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством РФ.
12.2. Лица, ответственные за обработке Персональных данных, обеспечивают обработку Персональных данных в порядке и в объемах, определенных настоящим Положением.