PageView

Положение об обработке персональных данных

1. Общие сведения

Положение об обработке персональных данных в ООО «СТАВ-МЕДИА» (далее по тексту просто Положение) было разработано в соответствии с ФЗ от 27.07.2006. № 152 ФЗ «О персональных данных» (далее по тексту просто ФЗ152), Трудовым кодексом РФ (далее по тексту – ТК РФ), а также «Перечнем сведений конфиденциального характера», которые были утверждены Указом Президента РФ от 06.03.1997№188.

Рассматриваемое Положение задаёт порядок обработки персональных сведений и устанавливает необходимые требования общего характера к обеспечению безопасности персональных данных, обрабатываемых в ООО «Став-Медиа» (далее по тексту просто Оператор), как с использованием средств для автоматической обработки информации, так использования этих средств.

В данном Положении предусмотрены следующие понятия:

  • Автоматизированная обработка персональных данных – обработка персональных сведений выполняется с помощью средств для автоматической обработки информации (вычислительной техники);
  • Блокирование персональных данных – действия, направленные на осуществления временного прекращения обработки персональных сведений;
  • Информационная система персональных данных – это сумма содержащихся в базе персональных данных сведений, и производящих их обработку информационных технологий, и технических средств;
  • Обезличивание персональных данных – это совокупность действий, в результате которых становится невозможным выполнение такой задачи, как определение принадлежности персональных сведений к конкретному объекту персональных данных;
  • Обработка персональных данных – операция или сумма операций, которые совершаются с применением средств автоматизации или без использования рассматриваемых средств при работе с персональными сведениями. Включая такие операции, как сбор, запись, систематизацию, накопление, хранение, изменение, извлечение, передача персональных данных, а также уничтожение персональных сведений;
  • Оператор – юр. или физ. лицо, муниципальный или государственный орган, самостоятельно или совместно с другими лицами выполняет обработку персональных сведений, а также определяет состав персональной информации, подлежащей обработке;
  • Персональные данные – сведения, относящиеся к определённому физическому лицу;
  • Предоставление персональных данных – это действие или сумма действий, которые направлены на то, чтобы выполнить раскрытие персональных данных одному лицу или группе лиц;
  • Распространение персональных данных – действие или сумма действий, направленные на распространение персональной информации неопределённому кругу лиц;
  • Трансграничная передача персональных данных – передача персональной информации на территорию иностранного государства, власти иностранного государства, иностранному физ. или юр. лицу.
  • Уничтожение персональных данных – действия или сумма действий, которые подразумевают, что после их выполнения будет невозможно осуществить восстановление персональных данных в информационной системе и/или в результате которых будет уничтожен физический носитель, на котором размещены персональные данные.

Действия рассматриваемого Положения одинаково распространяется на все структурные подразделения Оператора

Информация, которая содержится в данном положении должна быть предоставлена к ознакомлению каждому работнику Оператора под роспись.

 

2.Цели обработки персональных данных:

В перечне обрабатываемых персональных данных указаны:

  • Цели обработки персональных данных;
  • Основания для обработки персональных данных;
  • Состав обрабатываемых персональных категорий субъектов персональных данных;
  • Возможные операции, которые необходимо будет совершить с предоставленными персональными данными;

 

 

3. Организация обработки персональных данных

3.1. Ответственные лица

Для выполнения работ, связанных с организацией обработки персональных сведений Оператор назначает ответственное лицо.

Для того чтобы определить уровень защищённости в которых содержаться персональные данные, а также осуществить проверку готовности средств защиты информации к применению, а также уничтожения персональных сведений специальным приказом руководителя Оператора выставляется Комиссия по приведению в соответствие с требованиями законодательства РФ в области персональных данных (далее по тексту просто Комиссия).

Осуществляя свою деятельность, Комиссия обязана руководствоваться Положением о комиссии по приведению в соответствие с требованиями законодательства РФ в области персональных данных. Данное Положение должно быть утверждено приказом руководителя Оператора.

 

3.2 Допуск работников к выполнению обработки персональных данных

К выполнению обработки персональных данных производится допуск работников Оператора. Это осуществляется на основании специального документа (приказа) о назначении на должность в соответствии с перечнем должностей, обладающих доступом к персональным данным.

Для того чтобы работники Оператора получили доступ к обработке персональных данных они должны выполнить ряд мероприятий:

  • Ознакомиться под роспись с руководящей документацией Оператора, а также с нормативными актами РФ по обработке и обеспечению безопасности персональных данных;
  • Должно быть оформлено письменное обязательство, в котором работник Оператора обязуется не разглашать персональные данные. Форма этого документа должна быть утверждена приказом руководителя Оператора;
  • Работники Оператора, которые обладают допуском к персональным данным вправе получать только те персональные сведения, которые нужны им для решения служебных обязанностей.

3.3 Получение персональных данных

Получение персональных данных субъекта возможно либо от него самого, либо от его законного представителя. В той ситуации, когда персональные сведения были получены не от субъекта персональных данных, Оператор до начала обработки этих сведений должен в обязательном порядке произвести уведомление субъекта о том, что были получены его личные персональные данные.

3.4 Систематизация, накопление, уточнение и применение персональные данных

Выполнение таких операций, как систематизация, накопление, уточнение и применение персональных данных производится путём создания, оформления и ведения соответствующей документации учёта и баз данных субъектов персональных сведений.

Работники Оператора, обладающие доступом к персональным данным, должны произвести их обработку, которая полностью исключает несанкционированный доступ к персональным данным третьих лиц.

3.5. Передача персональных данных

Передача персональных данных работниками Оператора третьему лицу может выполняться только в ситуации, когда субъект предоставил письменное соглашение на выполнение данного действия, если иное не предусмотрено федеральным законодательством.

Если персональные данные были переданы 3-м лицам, то с третьим лицом должно быть подписано специальное Соглашение, в котором указывается о соблюдении безопасности персональных данных, которые были переданы на совершение обработки. Форма рассматриваемого Соглашения должна быть утверждена приказом руководителя Оператора.

Передача персональных сведений о субъектах между подразделениями оператора должна выполняться только между работниками, которые были допущены к обработке персональных данных.

3.6. Хранение персональных данных

Хранение персональных данных субъектов производится на следующих носителях информации: бумажных и машинных. Хранение осуществляется в специально выделенных хранилищах подразделений Оператора, а также в информационных системах Оператора, которые способны сохранить целостность информации и обеспечить её надёжную защиту от несанкционированного доступа.

В течение 30 дней с того момента, как были достигнуты цели обработки персональных данных (предельного срока хранения) должно быть выполнено уничтожение персональных данных в информационных системах, на машинных и бумажных носителях. Если произвести уничтожение персональных данных невозможно в течение 30 дней, то должно быть обеспечено блокирование персональных данных и уничтожение их в срок, который не превышает значение шести месяцев.

Такие сведения, как порядок и правила учёта, хранения и уничтожения персональных данных должны быть описаны в соответствующем регламенте по учёту, хранению и уничтожению носителей персональных данных.

3.7 Уведомление об обработке персональных данных

Согласно ст.22 ФЗ152 Оператор должен в обязательном порядке уведомить Уполномоченный орган по защите прав субъектов персональных сведений об обработке персональных данных. 

В той ситуации, если сведения, которые ранее были указаны в уведомлениях были изменены, а также в случае прекращения выполнения обработки персональных данных Оператор также извещает об этом Уполномоченный орган.

4. Особенности организации обработки персональных данных без использования средств автоматизации

Персональные данные при их оформлении без применения средств автоматизации должны быть обособлены от другой информации путём их фиксации на отдельных материальных носителях персональных сведений.

Запрещено выполнять фиксацию персональных данных на одном материальном носителе, если сведения в этих персональных данных заведомо несовместимы. При совершении обработки персональных данных различных категорий для каждой категории должен быть применён индивидуальный материальный носитель.

При применении типовых форм документации, информационный характер в которых предполагает или допускает включение в них персональных данных, должны быть в обязательном порядке соблюдены условия, представленные ниже:

  • В типовой форме должны быть указаны следующие сведения: цель обработки персональных данных, наименование и адрес Оператора, фамилию, имя, отчество, а также адрес субъекта персональных сведений, источник получения персональных данных, время обработки персональных сведений, перечень действий, которые будут совершаться в процессе обработки персональных данных, общее описание применяемых оператором способов для совершения обработки персональных данных;
  • В типовой форме должно быть расположено поле, в котором субъект персональных данных может произвести отметку, которая говорит о том, что субъект персональных данных выражает своё согласие на проведение обработки предоставленных сведений. При необходимости субъект должен предоставить письменное согласие на обработку персональных данных;
  • Составление типовой формы должно осуществляться таким образом, чтобы каждый из субъектов персональных данных, указанных в документации, обладал возможностью произвести ознакомление со своими персональными данными, которые расположены в документе, при этом не должно происходить нарушение прав и законных интересов иных субъектов персональных данных;
  • В типовой форме не должны быть объединёнными поля, которые предназначены для внесения персональных сведений, цели обработки которых заведомо не совместимы;
  • Если цели обработки персональных данных несовместимы, но при этом персональные данные содержащие различные сведения размещены на одном материальном носителе и если материальный носитель не позволяет производить обработку персональных данных от других расположенных на том же носителе персональных сведений, то должны быть обеспечены необходимые меры для раздельной обработки персональных данных;
  • Нужно раздельно хранить персональные данные обработка которых будет выполняться в соответствии с различными целями;
  • Уничтожение части персональных данных, если это возможно благодаря материальному носителю, может выполняться способом, которой полностью исключает дальнейшую обработку рассматриваемых персональных сведений, но при этом должна оставаться возможным обработка других данных, которые зафиксированы на материальном носителе;
  • Уточнение персональных данных выполняется при их обработке без применения средств автоматизации выполняется путём обновления или изменения данных на материальном носителе, а если рассматриваемые операции выполнить невозможно благодаря техническим особенностям носителя – методом фиксации на том же материальном носителе сведений об изменениях, либо же возможно производство другого материального носителя;
  • Лица, производящие обработку персональных данных без применения средств автоматизации, должны быть проинформированы:

о факте обработке ими персональных данных, обработка которых производится без средств автоматизации;

о категориях обрабатываемых персональных данных;

о правилах выполнения данной обработки.

 

5. Организация защиты персональных данных

Обработка персональных данных у оператора выполняется, как с применением средств автоматизации, так и без применения таких средств;

Порядок обработки и защиты персональных сведений в информационных системах Оператора должен определяться Положением об обеспечении безопасности персональных данных;

Оператор за счёт собственных средств обеспечивает защиту персональных данных от неправомерного их применения или утраты;

Работники Оператора, которым предоставлен доступ к персональным данным должны, в обязательном порядке должны соблюдать режим конфиденциальности персональных данных на всех этапах выполнения их обработки;

Во время отсутствия работника на его рабочем месте не должно находится документов и машинных носителей информации, которые содержат персональные данные.

Доступ работников Оператора и иных лиц в помещения, где производится обработка и хранение персональных ограничивается специальными организационными мерами и использованием системы контроля и управления доступом.

Учитывая массовый характер документации и единое место её хранения гриф «конфиденциально» на документации, которая содержит персональные данные, не ставится.

Организацию обработки персональных данных субъектов, а также контроль соблюдения мер их защиты, выполняют сотрудники, которые обладают доступом к персональным данным, а весь перечень работ им задают их непосредственные руководители.

Мероприятия по защите персональных данных производятся в соответствии с установленным Планом мероприятий по приведению в соответствие с установленными требованиями законодательства РФ в области обработки персональных данных, утверждаемых руководителем отдела.

Разработка и выполнение мероприятий по обеспечению безопасности персональных сведений может производиться сторонними организациями на договорной основе. Данные организации должны обладать лицензиями на право выполнения соответствующих работ.

6. Порядок обработки запросов по вопросам обработки персональных данных

Порядок обработки запросов указан в Регламенте по реагированию на субъекты персональных данных.

Порядок обработки запросов уполномоченных органов в области персональных данных детально рассмотрен в Регламенте по взаимодействию с органами государственной власти в области обработки персональных сведений.

7. Заключительные положения

Права и обязанности работников Оператора, не указанные в Положение представленном выше определяются Инструкцией пользователя информационных систем персональных данных.

Лица, нарушившие установленные нормы выполнения работ с персональными данными, которые регулируют обработку и защиту персональных данных несут материальную, административную, дисциплинарную, гражданско-правовую или уголовную ответственность в порядке, который был установлен ФЗ.

Такие действия как разглашение персональных данных, публичное раскрытие персональных данных, а также утрата документации и иных носителей, которые содержат персональные данные, а также другие нарушение не приведённые выше, но влекущие нарушения в обработке и защите персональных данных, влечёт на сотрудника обладающего доступом к персональным данным, различные формы дисциплинарного взыскания: замечание, выговор или увольнение.

Работник, обладающий доступом к персональным данным и сделавший дисциплинарный проступок, несёт полную материальную ответственность в том случае, если его совершёнными действиями был причинён ущерб работодателю (п. 7 ст. 243 ТК РФ).

Работники Оператора, которые обладают доступом к персональным данным, в том случае когда они виновны в их незаконном разглашении или применении без согласия субъектов персональных данных из корыстной или иной личной выгоды и причинившие крупный ущерб, подвержены уголовной ответственности в соответствии со ст. 183 Уголовного кодекса РФ.

Обновление данного положения производится в соответствии с Регламентом по выполнению контрольных мероприятий и реагированию на инциденты возникшие в сфере информационной безопасности. 

Положение