ПОЛИТИКА ПРЕДПРИЯТИЯ В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, политика организации отношении обработки персональных данных

Содержание
  1. ПОЛИТИКА ПРЕДПРИЯТИЯ В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
  2. Политика организации в отношении обработки персональных данных
  3. Политика организации отношении обработки персональных данных
  4. Какой должна быть политика в отношении обработки персональных данных согласно закону?
  5. Актуальность вопроса
  6. Титульная страница
  7. Сведения об организации
  8. Нормативные основания
  9. Цели работы с информацией
  10. Категории сведений
  11. Принципы работы со сведениями
  12. Третьи лица, задействованные в работе с личными данными
  13. Меры безопасности
  14. Права носителей персональных данных
  15. Ограничение прав
  16. Важные моменты
  17. Контактные сведения
  18. Заключительные положения
  19. Приказ об утверждении
  20. Дополнительно
  21. Заключение
  22. Политика организации в отношении обработки персональных данных на сайте

ПОЛИТИКА ПРЕДПРИЯТИЯ В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1.2. Обеспечение безопасности персональных данных является одной из приоритетных задач ООО НПП «ПРИМА» (далее Организации).

1.3. Обработка и обеспечение безопасности информации, отнесенной к персональным данным в Организации осуществляется в соответствии с нормативными документами по обработке персональных данных и позволяет обеспечить защиту персональных данных, обрабатываемых как в информационных системах персональных данных, т.е. в системах, целью создания которых является обработка персональных данных и к защите которых требования и рекомендации по обеспечению безопасности персональных данных предъявляют Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, Федеральная служба безопасности Российской Федерации (ФСБ России), Федеральная служба по техническому и экспортному контролю (ФСТЭК России), так и в иных информационных системах, в которых персональные данные обрабатываются совместно с информацией, защищаемой в соответствии с требованиями, установленными для этой информации (коммерческую тайну и др.).

1.4. Настоящая Политика определяет принципы, порядок и условия обработки персональных данных работников Организации и иных лиц, чьи персональные данные обрабатываются Организацией, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц Организации, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.5. Персональные данные являются конфиденциальной, строго охраняемой информацией и на них распространяются все требования, установленные внутренними документами Организации к защите конфиденциальной информации.

2.1. Перечень персональных данных, подлежащих защите в Организации, формируется в соответствии с ФЗ РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и Уставом Организации.

2.2. Сведениями, составляющими персональные данные, в Организации является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.3. Организация обрабатывает персональные данные собственных сотрудников.

3.1. Организация осуществляет обработку персональных данных в целях оформления трудовых и иных договорных отношений, кадрового, бухгалтерского, налогового учета, а также в иных целях, предусмотренных Федеральным законом от 27.06.2006 №152-ФЗ, 85-90 Трудового кодекса РФ.

4. Сроки обработки персональных данных

4.1. Сроки обработки персональных данных определяются в соответствии со сроком действия договора с субъектом персональных данных, Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроком исковой давности, а также иными требованиями законодательства РФ.

5.1. Права и обязанности Организации

5.1.1. Организация как оператор персональных данных, вправе:

· отстаивать свои интересы в суде;

· предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);

· отказывать в предоставлении персональных данных в случаях предусмотренных законодательством;

· использовать персональные данные субъекта без его согласия, в случаях предусмотренных законодательством.

5.2. Права и обязанности субъекта персональных данных

5.2.1. Субъект персональных данных имеет право

· требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

· требовать перечень своих персональных данных, обрабатываемых Организацией и указание источника их получения;

· получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;

· требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

· обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;

· на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

6.1. Обработка персональных данных в Организации осуществляется на основе принципов:

· законности и справедливости целей и способов обработки персональных данных;

· соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Организации;

· соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

· достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

· недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;

· хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;

· уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

6.2. Обработка персональных данных осуществляется на основании условий, определенных законодательством Российской Федерации.

7.1. Организация предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

7.2. В целях координации действий по обеспечению безопасности персональных данных в Организации назначен ответственный за обеспечение безопасности персональных данных.

8.1. Настоящая Политика является внутренним документом Организации, общедоступной и подлежит размещению на официальном сайте Организации.

8.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.

8.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение безопасности персональных данных Организации.

8.4. Ответственность должностных лиц Организации, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами.

Политика организации в отношении обработки персональных данных

Настоящая Политика организации в отношении обработки персональных данных (далее – Политика) действует в отношении всей информации, которую Сайт, расположенный на доменном имени http://preventiva.ru/ (далее – Доменное имя), может получить о Пользователе во время использования Сайта.

Настоящая Политика разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.

Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки персональных данных.

1. ОПРЕДЕЛЕНИЕ ТЕРМИНОВ

1.1 В настоящей Политике используются следующие термины:

1.1.1. «Администрация Сайта http://preventiva.ru/» (далее – «Администрация Сайта) – уполномоченные сотрудники на управление Сайтом, действующие от имени Общества с ограниченной ответственностью «Превентива Бизнес Сервис», находящегося по адресу г. Томск, ул. Нахимова, д. 8, стр.36; Общества с ограниченной ответственностью «Превентива», находящегося по адресу г. Новосибирск, ул. Степная, 25, оф. 1; Общества с ограниченной ответственностью «ПРЕВЕНТИВА», находящегося по адресу г. Северск, ул. Куйбышева, 2а, пом. 14; Общества с ограниченной ответственностью «Превентива +», находящегося по адресу г. Бийск, ул. Октябрьская, 21; Общества с ограниченной ответственностью «Превентива К», находящегося по адресу г. Прокопьевск, ул. Ноградская, д. 19, оф. 18; Общества с ограниченной ответственностью «Агентство Превентива», находящегося по адресу г. Новокузнецк, ул. Кутузова, 40, которые организуют и (или) осуществляют обработку персональных данных, а также определяют цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.1.2. «Персональные данные» — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

1.1.3. «Обработка персональных данных» — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

1.1.4. «Конфиденциальность персональных данных» — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

1.1.5. «Пользователь Сайта http://preventiva.ru/» (далее – Пользователь) – лицо, имеющее доступ к Сайту, посредством сети Интернет и использующее Сайт http://preventiva.ru/.

1.1.6. «Cookies» — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего Сайта.

1.1.7. «IP-адрес» — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.

1.1.8. Сайт — совокупность визуально воспринимаемых html страниц и сервисов, размещенных в сети Интернет по уникальному адресу (доменному имени).

2. ОБЩИЕ ПОЛОЖЕНИЯ

2.1. Использование Пользователем Сайта http://preventiva.ru/ означает согласие с настоящей Политикой и условиями обработки персональных данных Пользователя.

2.2. Если Пользователь не согласен с условиями настоящей политики и не дает согласие на обработку персональных данных, он должен покинуть Сайт.

2.3.Настоящая Политика применяется только к Сайту http://preventiva.ru/.

2.4. Администрация Сайта не проверяет достоверность персональных данных, предоставляемых Пользователем Сайта http://preventiva.ru/.

3. ПРЕДМЕТ ПОЛИТИКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Настоящая Политика устанавливает обязательства Администрации Сайта http://preventiva.ru/ по неразглашению и обеспечению режима защиты конфиденциальности персональных данных, которые Пользователь предоставляет при заполнении соответствующих полей форм.

3.2. Персональные данные, разрешённые к обработке в рамках настоящей Политики, предоставляются Пользователем путём заполнения форм на Сайте http://preventiva.ru/ и включают в себя следующую информацию:

3.2.1. фамилию, имя, отчество, ИНН (при наличии) Пользователя;

3.2.2. контактный телефон Пользователя;

3.2.3. паспортные данные Пользователя.

4. ЦЕЛИ СБОРА ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ ПОЛЬЗОВАТЕЛЯ

4.1. Персональные данные Пользователя Администрация Сайта http://preventiva.ru/ может использовать в целях:

4.1.1. Идентификации Пользователя;

4.1.2. Установления с Пользователем обратной связи, включая направление уведомлений, запросов, рекламной рассылки, оказания юридических и бухгалтерских услуг, обработку запросов и заявок от Пользователя;

4.1.3. Уведомления Пользователя;

4.1.4. Осуществления рекламной деятельности с согласия Пользователя.

5. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка персональных данных администрацией сайта осуществляется с учетом необходимости обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

5.1.1. обработка персональных данных осуществляется на законной и справедливой основе;

5.1.2. обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;

5.1.3. не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

5.1.4. не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

5.1.5. содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;

5.1.6. обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;

5.1.7. Администрация Сайта не обрабатывает персональные данные субъектов персональных данных, которые не дали надлежащее согласие на их обработку. Деятельность Администрации Сайта осуществляется в соответствии с требованиями Российского законодательства о персональных данных.

6. СПОСОБЫ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ

6.1. Обработка персональных данных Пользователя осуществляется до момента достижения целей обработки, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств.

6.2. Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.

7. МЕРЫ, ПРИНИМАЕМЫЕ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации в области персональных данных, включают:

7.1.1. Назначение лица, ответственного за организацию обработки персональных данных;

7.1.2. принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;

7.1.3. получение согласий субъектов персональных данных на обработку их персональных данных;

7.1.4. обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;

7.1.5. хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;

7.1.6. осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным нормативным актам организации;

7.1.7. иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.

7.2. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными нормативными актами, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.

8. ОБЯЗАТЕЛЬСТВА СТОРОН

8.1. Пользователь обязан:

8.1.1. Предоставить достоверную информацию о персональных данных, необходимую для обработки входящей заявки или заказа Пользователя.

8.2. Администрация Сайта обязана:

8.2.1. Использовать полученную информацию исключительно для целей, указанных в разделе 4 настоящей Политики.

8.2.2. Обеспечить хранение конфиденциальной информации в тайне, не разглашать без предварительного письменного разрешения Пользователя, а также не осуществлять продажу, обмен, опубликование, либо разглашение иными возможными способами переданных персональных данных Пользователя, за исключением п.п. 6.2. настоящей Политики.

8.2.3. Принимать меры предосторожности для защиты конфиденциальности персональных данных Пользователя согласно порядку, обычно используемого для защиты такого рода информации в существующем деловом обороте.

9. ДОПОЛНИТЕЛЬНЫЕ УСЛОВИЯ

9.1. Администрация Сайта вправе вносить изменения в настоящую Политику в одностороннем порядке.

Политика организации отношении обработки персональных данных

приказом ГОАУСОН «Мурманский КЦСОН»

№ 796 от «30» декабря 2011г.

ПОЛИТИКА

государственного областного автономного учреждения социального обслуживания населения «Мурманский комплексный центр социального обслуживания населения» в отношении обработки персональных данных

Государственное областное автономное учреждение социального обслуживания населения «Мурманский комплексный центр социального обслуживания населения» (далее — Учреждение) в рамках выполнения своей основной деятельности, регламентируемой Положением об Учреждении, утверждённым Директором Учреждения от 18.01.2010, осуществляет обработку персональных данных различных категорий субъектов персональных данных: работников, кандидатов на работу, получателей государственных (муниципальных) услуг и прочих. В соответствии с действующим законодательством Российской Федерации Учреждение является оператором персональных данных с соответствующими правами и обязанностями.

С целью обеспечения выполнения норм федерального законодательства Учреждение считает важнейшими задачами: обеспечение легитимности обработки персональных данных при осуществлении основной деятельности Учреждения в соответствии с нормативно-правовыми актами и обеспечение надлежащего уровня безопасности обрабатываемых в Учреждении персональных данных.

При организации и осуществлении обработки персональных данных Учреждение руководствуется требованиями Федерального закона № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

Обработка персональных данных в Учреждении осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определённых и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объём обрабатываемых в Учреждении персональных данных соответствует заявленным целям их обработки, избыточность обрабатываемых данных не допускается.

При обработке персональных данных в Учреждении обеспечивается точность персональных данных, их достаточность и в необходимых случаях актуальность по отношению к целям обработки персональных данных. Учреждение принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных или неточных персональных данных.

Хранение персональных данных в Учреждении осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Сведения о целях обработки персональных данных, составе и содержании персональных данных, а также категориях субъектов персональных данных, чьи данные обрабатываются в Учреждении, содержатся в уведомлении Учреждения об обработке персональных данных, направленном в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор), и подлежат обновлению в случае их изменений. При этом в Учреждении не обрабатываются специальные категории персональных данных и биометрические персональные данные.

Учреждение в ходе своей деятельности может предоставлять и (или) поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. При этом обязательным условием предоставления и (или) поручения обработки персональных данных другому лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.

Учреждение не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия.

Учреждение в ходе своей основной деятельности при обработке персональных данных не осуществляет трансграничной передачи персональных данных на территорию иностранных государств.

В случае возникновения необходимости осуществления трансграничной передачи персональных данных на территорию иностранных государств органам власти иностранного государства, иностранным физическим или юридическим лицам Учреждение обязано обеспечить адекватную защиту прав субъектов персональных данных и обеспечения при трансграничной передаче безопасности их персональных данных в соответствии с законодательством Российской Федерации в сфере обработки персональных данных, в том числе при условии наличия письменного согласия субъекта персональных данных на трансграничную передачу.

С целью обеспечения безопасности персональных данных при их обработке Учреждение принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Все реализуемые Учреждением мероприятия по организационной и технической защите персональных данных осуществляются на законных основаниях, в том числе в соответствии с требованиями законодательства Российской Федерации в сфере обработки персональных данных.

В целях обеспечения адекватной защиты прав субъектов персональных данных Учреждение проводит оценку вреда, который может быть причинён субъектам персональных данных в случае нарушения безопасности их персональных данных, а также определяет актуальные угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.

В соответствии с выявленными актуальными угрозами Учреждение применяет необходимые и достаточные правовые, организационные и технические меры по обеспечению безопасности персональных данных, включающие в себя использование прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по его недопущению, восстановление персональных данных, ограничение доступа к персональным данным, регистрацию и учёт действий с персональными данными, а также контроль и оценку эффективности применяемых мер по обеспечению безопасности персональных данных.

Руководство Учреждения осознаёт важность и необходимость обеспечения безопасности персональных данных и постоянно совершенствует систему защиты персональных данных, обрабатываемых в рамках выполнения основной деятельности Учреждения.

В Учреждении назначаются должностные лица, ответственные за организацию обработки и обеспечение безопасности персональных данных.

Каждый вновь принятый на работу работник Учреждения, непосредственно осуществляющий обработку персональных данных, подлежит ознакомлению с требованиями законодательства Российской Федерации по обработке и обеспечению безопасности персональных данных, с настоящей Политикой и другими организационно-распорядительными документами по вопросам обработки и обеспечения безопасности персональных данных и обязуется их соблюдать.

Настоящая Политика является общедоступным внутренним документом Учреждения, и подлежит размещению на официальном сайте Учреждения.

Ответственность должностных лиц Учреждения, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними организационно-распорядительными документами Учреждения.

Какой должна быть политика в отношении обработки персональных данных согласно закону?

С 1.07.2017 г. вступили в действие изменения в КоАП и ФЗ № 152. В соответствии с ними, всем организациям, учреждениям, предприятиям необходимо разработать и утвердить особый документ – Политику в отношении обработки персональных данных .

Актуальность вопроса

Новые требования законодательства направлены на защиту граждан от несанкционированного доступа и незаконного использования их личных сведений. Особое внимание законодатель уделил социально значимым объектам: ДОУ, школам.

Политика в отношении обработки персональных данных позволяет обеспечить реализацию принципов законности, конфиденциальности и безопасности информации.

Законодательством предусмотрены периодические проверки субъектов на предмет соответствия фактического уровня защиты установленным требованиям. Мониторинг осуществляют территориальные подразделения Роскомнадзора.

Политика в отношении обработки персональных данных – это документ, состоящий из нескольких разделов. В них приводятся сведения о субъекте, осуществляющем сбор и обработку данных, и о третьих лицах, участвующих в этом процессе, меры по защите информации, ссылки на нормативные документы, права носителей персональных сведений. Далее будет описан типовой образец Политики в отношении обработки персональных данных .

Титульная страница

Справа вверху должен присутствовать гриф утверждения. В нем присутствуют: наименование должности, Ф. И. О. руководителя и его подпись, а также печать организации.

По центру, с небольшим отступом от грифа указывается наименование документа. Например, оно может быть таким:

«Политика ООО «__» в отношении обработки персональных данных и сведениях о реализуемых мерах по их защите».

Как правило, с титульного листа начинается текст документа.

В Общих положениях Политики в отношении обработки персональных данных приводится информация о самом документе. Ключевые его задачи состоят в:

  1. Раскрытии основных категорий персональных сведений, целей, способов, принципов их обработки, обязанностей и прав предприятия в процессе использования данных.
  2. Обеспечении защиты конфиденциальности персональной информации.

Образец Политики в отношении обработки персональных данных содержит также указание на общедоступность документа.

Сведения об организации

В качестве субъекта, осуществляющего сбор и обработку личных сведений, может выступать любое предприятие, организация, в том числе оказывающая услуги оператора. Политика в отношении обработки персональных данных содержит информацию о:

  1. Наименовании субъекта. Оно приводится в полной и сокращенной форме.
  2. ИНН.
  3. Фактическом адресе.
  4. Телефоне, факсе.

В Политику оператора в отношении обработки персональных данных включаются также сведения о номере, дате и основании их внесения в единый реестр.

Нормативные основания

В этом разделе Политики организации в отношении обработки персональных данных приводятся указания на правовые документы, которыми руководствуется компания при работе с личными сведениями. К основным нормативным актам относят:

В целях реализации Политики в отношении обработки персональных данных компания принимает ряд локальных актов. В их числе Перечни:

  • Личных сведений, подвергающихся обработке.
  • Информационных систем, используемых при работе с информацией.
  • Сотрудников, имеющих допуск к персональным данным.

Кроме того, утверждаются:

  • Правила обработки информации.
  • Акты классификации информсистем.
  • Модели возможных угроз безопасности личных данных в ходе их обработки.

Цели работы с информацией

В Политике в отношении обработки персональных данных должен присутствовать закрытый перечень задач, реализуемых организацией. Обработка сведений должна осуществляться для:

  1. Обеспечения реализации госполитики по соцподдержке и социальному обслуживанию граждан, в том числе относящихся к категории особо нуждающихся. В их числе: малоимущие, пенсионеры, инвалиды любой группы, многодетные семьи, несовершеннолетние и пр.
  2. Оформления трудовых договоров, гражданско-правовых соглашений, контрактов с контрагентами и исполнения их условий.
  3. Организации пропускного режима.

Категории сведений

Политика в отношении обработки персональных данных предусматривает работы с личными сведениями:

  • сотрудников;
  • получателей услуг, их родственников, представителей.

Источниками этой информации являются сами ее носители.

Принципы работы со сведениями

Согласно Политике в отношении обработки персональных данных , субъект, работающий с информацией, обязан соблюдать положения 5 статьи ФЗ № 152.

Если организация не работает с биометрическими данными, в Политике должно быть это указано. Биометрические сведения характеризуют биологические и физиологические особенности человека, по которым устанавливается его личность.

  1. Неиспользование специальных категорий сведений, относящихся к национальной/расовой принадлежности, религиозным, политическим взглядам, философским убеждениям, интимной жизни, состоянию здоровья.
  2. Исключение трансграничной передачи информации (в другое государство, иностранному гражданину или юрлицу).
  3. Передача сведений сторонним лицам осуществляется исключительно с согласия носителя на основании соглашения.
  4. Формирование общедоступных источников личных данных (справочников, адресных книг), сообщаемых гражданином. Информация, в соответствии с Политикой конфиденциальности в отношении обработки персональных данных , включается в них только с его согласия.

Третьи лица, задействованные в работе с личными данными

Для реализации требований законодательства, достижения целей работы с персональной информацией, в интересах и по согласию носителей сведения передаются:

  • ФНС.
  • ПФР.
  • Субъектам системы электронного межведомственного взаимодействия.
  • Отделениям негосударственных пенсионных фондов.

Меры безопасности

Этот раздел Политики в отношении обработки персональных данных считается одним из самых значимых.

Субъект, работающий с личной информацией граждан, обязан предпринять все юридические, технические и организационные меры по предотвращению случайного или противоправного доступа, изменения, уничтожения, копирования, блокирования, распространения и совершения иных противозаконных действий с ней.

В организации должны быть назначены служащие, ответственные за организацию работы с информацией.

В обязательном порядке предусматривается внутренний контроль/аудит соответствия обработки сведений требованиям ФЗ № 152, а также нормативным документам, принятым на его основании, в том числе локальным актам. Все сотрудники, работающие с личной информацией граждан, должны быть ознакомлены с их положениями.

До ввода в эксплуатацию информсистемы должна быть проведена оценка эффективности мер, предпринимаемых для обеспечения защиты сведений.

Факты несанкционированного доступа к персональным данным должны выявляться оперативно. При их обнаружении организация обязана принимать меры по восстановлению измененных либо уничтоженных сведений.

В должностных регламентах определяются обязанности сотрудников, работающих с личной информацией.

Права носителей персональных данных

Граждане вправе получать сведения о процессе обработки их личной информации. Носитель данных может потребовать их уточнения, уничтожения либо блокирования, если они:

  • устарели;
  • являются неполными/неточными;
  • получены противоправным способом;
  • не являются необходимыми для заявленных целей обработки.

Носитель информации вправе принимать меры для защиты своих интересов в рамках действующего законодательства.

Ограничение прав

Оно допускается исключительно в случаях, предусмотренных законом. Права граждан на доступ к их персональным данным ограничивается, если:

  • Обработка информации, включая ту, что получена при оперативно-розыскной, разведывательной или контрразведывательной деятельности, осуществляется для обеспечения безопасности, обороноспособности государства и охраны порядка.
  • С личными сведениями работают органы, производившие задержание лиц, подозреваемых/обвиняемых в преступлениях, применившие к субъектам меры пресечения. Исключение составляют случаи, закрепленные УПК.
  • Обработка данных направлена на противодействие отмывания (легализации) доходов, полученных незаконным путем, а также на пресечение финансирования терроризма.
  • Работа с информацией осуществляется для обеспечения безопасного функционирования транспортной инфраструктуры, защиты прав и интересов личности, государства и общества в транспортной сфере.

Важные моменты

В Политике об обработке персональной информации должны закрепляться меры, которые может предпринимать гражданин для защиты своих прав. В частности, субъект может обратиться непосредственно к лицам, работающим с его личными данными.

Носитель персональных сведений может оспорить действия/бездействия организации, ее сотрудников посредством обращения в орган, уполномоченный на реализацию функций по защите прав субъектов персональной информации. Он также может потребовать компенсации морального либо материального вреда в судебном порядке.

Контактные сведения

В Политике должна присутствовать информация о лицах, ответственных за организацию работы с персональными сведениями. Им может являться руководитель отдела по приему граждан, организационно-технической работы и социального сопровождения. Должны указываться его Ф. И. О., должность, номер телефона. По усмотрению руководства организации в контактных данных может присутствовать адрес эл. почты.

Кроме того, в этом разделе Политики должны указываться сведения о контролирующем органе:

  1. Почтовый адрес.
  2. Наименование.
  3. Официальный сайт.
  4. Адрес эл. почты.
  5. Номера телефонов.

Заключительные положения

В этом разделе приводится информация о разработчиках Политики и лице, контролирующем ее исполнение в организации. В качестве первых выступает, как правило, юридический отдел компании. Контроль исполнения положений возлагается на руководителя организации или его заместителя. Ф. И. О. и должность ответственного лица должна обязательно указываться в документе.

Приказ об утверждении

Разработанный проект Политики передается руководителю для согласования. Утверждение документа осуществляется по приказу директора. Этот акт составляется по типовому образцу, принятому в соответствии с номенклатурой дел, на основании Инструкции по делопроизводству.

В Приказе присутствуют следующие сведения:

  1. Наименование организации.
  2. Название документа.
  3. Дата составления, номер.
  4. Преамбула.
  5. Текст.
  6. Дата вступления в силу.
  7. Ф. И. О. руководителя предприятия, подпись.
  8. Подписи лиц, ознакомленных с приказом.

«В соответствии с п. 2 ст. 18.1 ФЗ № 152 «О персональных данных», Постановлением правительства № 211 от 21.03.2012 г., принятыми на их основании нормативными актами, приказываю…»

Содержание текста может быть таким:

«Утвердить Политику «___» в отношении обработки персональных данных».

Операторы должны размещать утвержденный документ на официальном сайте региона в разделе «Реестр поставщиков соц. услуг». В этой связи в приказе указывается следующее:

«Начальнику отдела по работе с гражданами (Ф. И. О.) в течение 10 дней с даты утверждения опубликовать Политику на официальном сайте (наименование региона) в разделе «Реестр поставщиков социальных услуг».

Дополнительно

Если в организации ранее была утверждена Политика, ее следует пересмотреть и при необходимости внести изменения. Откорректированный документ следует утвердить заново. При этом приказ, на основании которого была принята действовавшая до изменений Политика, нужно отменить. Для этого издается распоряжение. В нем можно одновременно отменить ранее действовавший приказ и утвердить откорректированную политику.

Заключение

В последнее время вопросу обеспечения защиты персональных сведений уделяется повышенное внимание. Это связано со стремительным развитием компьютерных технологий, появлением новых возможностей для недобросовестных пользователей. Каждая организация, работающая с персональными данными, должна гарантировать их носителям безопасность.

Политика организации в отношении обработки персональных данных на сайте

1. ОБЩИЕ ПОЛОЖЕНИЯ.

Политика обработки персональных данных (далее – Политика) разработана в соответствии с Федеральным законом от 01.07.2017. №152-ФЗ «О персональных данных» (далее – ФЗ-152). Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в ООО «Издательство «Настя и Никита» (далее – Оператор) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

В Политике используются следующие основные понятия:

автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники; блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств; обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных; обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно- телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом; трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу, уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных;

Компания обязана опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике обработки персональных данных в соответствии с ч. 2 ст. 18.1. ФЗ-152.

2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.

2.1 Принципы обработки персональных данных.

Обработка персональных данных у Оператора осуществляется на основе следующих принципов: — законности и справедливой основы; — ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей; — недопущения обработки персональных данных, несовместимой с целями сбора персональных данных; — недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой; — обработки только тех персональных данных, которые отвечают целям их обработки; — соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки; — недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки; — обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных; — уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом.

2.2. Условия обработки персональных данных.

Оператор производит обработку персональных данных при наличии хотя бы одного из следующих условий:

— обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

— обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

— обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

— обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

— обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

— осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — общедоступные персональные данные);

— осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

2.3. Конфиденциальность персональных данных.

Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

2.4. Специальные категории персональных данных.

Обработка Оператором специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается в случаях, если:

— субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

— обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;

— обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно; — обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико- социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

— обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия; — обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством. Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено федеральным законом. Обработка персональных данных о судимости может осуществляться Оператором исключительно в случаях и в порядке, которые определяются в соответствии с федеральными законами.

2.5. Поручение обработки персональных данных другому лицу.

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152.

2.6. Трансграничная передача персональных данных

Оператор обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления такой передачи. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях: — наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных; — исполнения договора, стороной которого является субъект персональных данных.

3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Согласие субъекта персональных данных на обработку его персональных данных

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в ФЗ-152, возлагается на Оператора.

3.2. Права субъекта персональных данных

Субъект персональных данных имеет право на получение у Оператора информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если Компания не докажет, что такое согласие было получено. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в вышеуказанных целях. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований ФЗ-152 или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

4. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ.

Безопасность персональных данных, обрабатываемых Оператора, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных. Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры:

— назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;

— ограничение состава лиц, имеющих доступ к персональным данным;

— ознакомление субъектов с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите персональных данных;

— организация учета, хранения и обращения носителей информации;

— регистрация и учет действий пользователей информационных систем персональных данных;

— использование антивирусных средств и средств восстановления системы защиты персональных данных;

5. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Иные права и обязанности Оператора, как оператора персональных данных определяются законодательством Российской Федерации в области персональных данных. Должностные лица Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.

Похожих постов не найдено

Комментариев нет, будьте первым кто его оставит