Одна заявка во все банки
Получите деньги наличными или на карту всего за 3 минуты
Максимальная сумма займа
500 000 руб.

Быстрое и удобное оформление займа. Всего одна заявку сразу во все МФО вашего города

Положение об обработке персональных данных

1. Общие сведения

Положение об обработке персональных данных в ИП Середов Д.П. (далее по тексту просто Положение) было разработано в соответствии с ФЗ от 27.07.2006. № 152 ФЗ «О персональных данных» (далее по тексту просто ФЗ152), Трудовым кодексом РФ (далее по тексту – ТК РФ), а также «Перечнем сведений конфиденциального характера», которые были утверждены Указом Президента РФ от 06.03.1997№188.

Рассматриваемое Положение задаёт порядок обработки персональных сведений и устанавливает необходимые требования общего характера к обеспечению безопасности персональных данных, обрабатываемых ИП Середов Д.П. (далее по тексту просто Оператор), как с использованием средств для автоматической обработки информации, так использования этих средств.

В данном Положении предусмотрены следующие понятия:

Действия рассматриваемого Положения одинаково распространяется на все структурные подразделения Оператора

Информация, которая содержится в данном положении должна быть предоставлена к ознакомлению каждому работнику Оператора под роспись.

2.Цели обработки персональных данных:

В перечне обрабатываемых персональных данных указаны:

3. Организация обработки персональных данных

3.1. Ответственные лица

Для выполнения работ, связанных с организацией обработки персональных сведений Оператор назначает ответственное лицо.

Для того чтобы определить уровень защищённости в которых содержаться персональные данные, а также осуществить проверку готовности средств защиты информации к применению, а также уничтожения персональных сведений специальным приказом руководителя Оператора выставляется Комиссия по приведению в соответствие с требованиями законодательства РФ в области персональных данных (далее по тексту просто Комиссия).

Осуществляя свою деятельность, Комиссия обязана руководствоваться Положением о комиссии по приведению в соответствие с требованиями законодательства РФ в области персональных данных. Данное Положение должно быть утверждено приказом руководителя Оператора.

3.2 Допуск работников к выполнению обработки персональных данных

К выполнению обработки персональных данных производится допуск работников Оператора. Это осуществляется на основании специального документа (приказа) о назначении на должность в соответствии с перечнем должностей, обладающих доступом к персональным данным.

Для того чтобы работники Оператора получили доступ к обработке персональных данных они должны выполнить ряд мероприятий:

3.3 Получение персональных данных

Получение персональных данных субъекта возможно либо от него самого, либо от его законного представителя. В той ситуации, когда персональные сведения были получены не от субъекта персональных данных, Оператор до начала обработки этих сведений должен в обязательном порядке произвести уведомление субъекта о том, что были получены его личные персональные данные.

3.4 Систематизация, накопление, уточнение и применение персональные данных

Выполнение таких операций, как систематизация, накопление, уточнение и применение персональных данных производится путём создания, оформления и ведения соответствующей документации учёта и баз данных субъектов персональных сведений.

Работники Оператора, обладающие доступом к персональным данным, должны произвести их обработку, которая полностью исключает несанкционированный доступ к персональным данным третьих лиц.

3.5. Передача персональных данных

Передача персональных данных работниками Оператора третьему лицу может выполняться только в ситуации, когда субъект предоставил письменное соглашение на выполнение данного действия, если иное не предусмотрено федеральным законодательством.

Если персональные данные были переданы 3-м лицам, то с третьим лицом должно быть подписано специальное Соглашение, в котором указывается о соблюдении безопасности персональных данных, которые были переданы на совершение обработки. Форма рассматриваемого Соглашения должна быть утверждена приказом руководителя Оператора.

Передача персональных сведений о субъектах между подразделениями оператора должна выполняться только между работниками, которые были допущены к обработке персональных данных.

3.6. Хранение персональных данных

Хранение персональных данных субъектов производится на следующих носителях информации: бумажных и машинных. Хранение осуществляется в специально выделенных хранилищах подразделений Оператора, а также в информационных системах Оператора, которые способны сохранить целостность информации и обеспечить её надёжную защиту от несанкционированного доступа.

В течение 30 дней с того момента, как были достигнуты цели обработки персональных данных (предельного срока хранения) должно быть выполнено уничтожение персональных данных в информационных системах, на машинных и бумажных носителях. Если произвести уничтожение персональных данных невозможно в течение 30 дней, то должно быть обеспечено блокирование персональных данных и уничтожение их в срок, который не превышает значение шести месяцев.

Такие сведения, как порядок и правила учёта, хранения и уничтожения персональных данных должны быть описаны в соответствующем регламенте по учёту, хранению и уничтожению носителей персональных данных.

3.7 Уведомление об обработке персональных данных

Согласно ст.22 ФЗ152 Оператор должен в обязательном порядке уведомить Уполномоченный орган по защите прав субъектов персональных сведений об обработке персональных данных. 

В той ситуации, если сведения, которые ранее были указаны в уведомлениях были изменены, а также в случае прекращения выполнения обработки персональных данных Оператор также извещает об этом Уполномоченный орган.

4. Особенности организации обработки персональных данных без использования средств автоматизации

Персональные данные при их оформлении без применения средств автоматизации должны быть обособлены от другой информации путём их фиксации на отдельных материальных носителях персональных сведений.

Запрещено выполнять фиксацию персональных данных на одном материальном носителе, если сведения в этих персональных данных заведомо несовместимы. При совершении обработки персональных данных различных категорий для каждой категории должен быть применён индивидуальный материальный носитель.

При применении типовых форм документации, информационный характер в которых предполагает или допускает включение в них персональных данных, должны быть в обязательном порядке соблюдены условия, представленные ниже:

о факте обработке ими персональных данных, обработка которых производится без средств автоматизации;

о категориях обрабатываемых персональных данных;

о правилах выполнения данной обработки.

5. Организация защиты персональных данных

Обработка персональных данных у оператора выполняется, как с применением средств автоматизации, так и без применения таких средств;

Порядок обработки и защиты персональных сведений в информационных системах Оператора должен определяться Положением об обеспечении безопасности персональных данных;

Оператор за счёт собственных средств обеспечивает защиту персональных данных от неправомерного их применения или утраты;

Работники Оператора, которым предоставлен доступ к персональным данным должны, в обязательном порядке должны соблюдать режим конфиденциальности персональных данных на всех этапах выполнения их обработки;

Во время отсутствия работника на его рабочем месте не должно находится документов и машинных носителей информации, которые содержат персональные данные.

Доступ работников Оператора и иных лиц в помещения, где производится обработка и хранение персональных ограничивается специальными организационными мерами и использованием системы контроля и управления доступом.

Учитывая массовый характер документации и единое место её хранения гриф «конфиденциально» на документации, которая содержит персональные данные, не ставится.

Организацию обработки персональных данных субъектов, а также контроль соблюдения мер их защиты, выполняют сотрудники, которые обладают доступом к персональным данным, а весь перечень работ им задают их непосредственные руководители.

Мероприятия по защите персональных данных производятся в соответствии с установленным Планом мероприятий по приведению в соответствие с установленными требованиями законодательства РФ в области обработки персональных данных, утверждаемых руководителем отдела.

Разработка и выполнение мероприятий по обеспечению безопасности персональных сведений может производиться сторонними организациями на договорной основе. Данные организации должны обладать лицензиями на право выполнения соответствующих работ.

6. Порядок обработки запросов по вопросам обработки персональных данных

Порядок обработки запросов указан в Регламенте по реагированию на субъекты персональных данных.

Порядок обработки запросов уполномоченных органов в области персональных данных детально рассмотрен в Регламенте по взаимодействию с органами государственной власти в области обработки персональных сведений.

7. Заключительные положения

Права и обязанности работников Оператора, не указанные в Положение представленном выше определяются Инструкцией пользователя информационных систем персональных данных.

Лица, нарушившие установленные нормы выполнения работ с персональными данными, которые регулируют обработку и защиту персональных данных несут материальную, административную, дисциплинарную, гражданско-правовую или уголовную ответственность в порядке, который был установлен ФЗ.

Такие действия как разглашение персональных данных, публичное раскрытие персональных данных, а также утрата документации и иных носителей, которые содержат персональные данные, а также другие нарушение не приведённые выше, но влекущие нарушения в обработке и защите персональных данных, влечёт на сотрудника обладающего доступом к персональным данным, различные формы дисциплинарного взыскания: замечание, выговор или увольнение.

Работник, обладающий доступом к персональным данным и сделавший дисциплинарный проступок, несёт полную материальную ответственность в том случае, если его совершёнными действиями был причинён ущерб работодателю (п. 7 ст. 243 ТК РФ).

Работники Оператора, которые обладают доступом к персональным данным, в том случае когда они виновны в их незаконном разглашении или применении без согласия субъектов персональных данных из корыстной или иной личной выгоды и причинившие крупный ущерб, подвержены уголовной ответственности в соответствии со ст. 183 Уголовного кодекса РФ.

Обновление данного положения производится в соответствии с Регламентом по выполнению контрольных мероприятий и реагированию на инциденты возникшие в сфере информационной безопасности. 

Вернуться к заполнению заявки