ПОЛИТИКА ЗАЩИТЫ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Индивидуальный предприниматель
Шеромова Оксана Александровна

ПОЛИТИКА
ЗАЩИТЫ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общие положения

1.1. Настоящая Политика ИП Шеромовой Оксаны Александровны, в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика действует в отношении всех персональных данных, которые обрабатывает ИП Шеромова О.А. (далее — Оператор ).

1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.

1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора www.2-а.ru

1.5. Основные понятия, используемые в Политике:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:

• сбор;
• запись;
• систематизацию;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передачу (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1.6. Основные права и обязанности Оператора.

1.6.1. Оператор имеет право:

• самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
• поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
• в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.

1.6.2. Оператор обязан:

• организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
• отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
• сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
• в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.

1.7. Основные права субъекта персональных данных. Субъект персональных данных имеет право:

• получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
• требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
• дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;
• обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.

1.8. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.

1.9. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов оператора, в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

2. Цели сбора персональных данных

2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.2. Содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки:

- Ведение кадрового и бухгалтерского учета. Обрабатываемые персональные данные: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, семейное положение, пол, адрес электронной почты, адрес места жительства, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, данные водительского удостоверения, реквизиты банковской карты, номер расчетного счета, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации),отношение к воинской обязанности, сведения о воинском учете, сведения об образовании;

Категории субъектов, персональные данные которых обрабатываются: Работники, Родственники работников, Уволенные работники;

Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей, обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;

Перечень действий: Сбор, Запись, Систематизация, Накопление, Хранение, Уточнение (обновление, изменение), Извлечение, Использование, Передача (предоставление, доступ), Блокирование, Удаление, Уничтожение;

Способы обработки: смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет;

- Ведение сайта. Обрабатываемые персональные данные. Обрабатываемые персональные данные:: фамилия, имя, отчество, адрес электронной почты, адрес места жительства, номер телефона, сведения, собираемые посредством метрических программ,фото-видео изображение лица;

Категории субъектов, персональные данные которых обрабатываются: Работники, Клиенты, Посетители сайта, Выгодоприобретатели по договорам;

Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей, обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;

Перечень действий: Сбор ,Запись, Систематизация, Накопление, Хранение, Уточнение (обновление, изменение), Извлечение, Использование, Передача (предоставление, доступ), Блокирование, Уничтожение;

Способы обработки: смешанная,с передачей по внутренней сети юридического лица,с передачей по сети Интернет

- Подготовка, заключение и исполнение гражданско-правового договора. Обрабатываемые персональные данные: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, данные документа, удостоверяющего личность, реквизиты банковской карты, номер расчетного счета;

Категории субъектов, персональные данные которых обрабатываются: Контрагенты, Клиенты, Выгодоприобретатели по договорам;

Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей, обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;

Перечень действий: Сбор, Запись, Систематизация, Накопление, Хранение, Уточнение (обновление, изменение),Извлечение,Использование, Передача (предоставление, доступ), Блокирование, Удаление, Уничтожение;

Способы обработки: смешанная,с передачей по внутренней сети юридического лица,с передачей по сети Интернет.

- Подбор персонала (соискателей) на вакантные должности оператора. Обрабатываемые персональные данные: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, профессия, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации),сведения об образовании;

Категории субъектов, персональные данные которых обрабатываются: Соискатели;

Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

Перечень действий: Сбор, Запись, Систематизация, Накопление, Хранение, Уточнение (обновление, изменение), Извлечение, Использование, Передача (предоставление, доступ), Блокирование, Удаление, Уничтожение;

Способы обработки: смешанная, с передачей по внутренней сети юридического лица, без передачи по сети Интернет

- Работа с банком в рамках зарплатного проекта.

Обрабатываемые персональные данные: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, доходы, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, Снилс, ИНН, данные документа, удостоверяющего личность, реквизиты банковской карты, номер расчетного счета;

Категории субъектов, персональные данные которых обрабатываются: Работники, уволенные работники;

Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей, обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;

Перечень действий: Сбор, Запись, Систематизация, Накопление, Хранение, Уточнение (обновление, изменение), Извлечение, Использование, Передача (предоставление, доступ), Блокирование, Удаление, Уничтожение;

Способы обработки: смешанная, с передачей по внутренней сети юридического лица,с передачей по сети Интернет

3. Процедуры, направленные на устранение последствий нарушений законодательства Российской Федерации в сфере персональных данных

3.1. Ознакомление Субъектов персональных данных, чьи данные обрабатываются с положениями законодательства Российской Федерации о персональных данных, с требованиями законодательства Российской Федерации о персональных данных, с требованиями по защите персональных данных, с ЛНПА, с правом на получении информации, касающейся обработки их персональных данных: правовые основания и цели, обрабатываемые персональные данные, источник их получения, сроки обработки, в том числе сроки их хранения, сведения о лицах, которые имеют доступ к персональным данным.

3.2. Осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативными правовыми актами, требованиям к защите персональных данных.

3.3. Оценка вреда, который может быть причинен Субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых ИП Шеромовой О.А. мер, направленных на обеспечение выполнения обязанностей оператора персональных данных, предусмотренных Федеральным законом.

3.4. Ограничение круга должностных лиц имеющих доступ к базе персональных данных.

3.5.Использование паролей (кодов) доступа к ПЭВМ, к локальной вычислительной сети.

3.6.Использование паролей доступа к базе персональных данных.

3.7. Использование специальных программ защиты персональных данных (антивирусные программы).

3.8.Хранение информации на бумажных носителях в сейфах, специально оборудованных помещениях.

3.9.Оборудование помещений автоматической пожарной сигнализацией.

3.10. Сдача помещений под охрану во внерабочее время.

3.11.Идентификация и проверка права доступа пользователя при входе в систему.

3.12. Регистрация начала и окончания работы с базой персональных данных с указанием данных пользователя.

3.13.Наличие и использование средств восстановления системы защиты персональных данных, их периодическое обновление и контроль работоспособности.

3.14. Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

4. Сроки обработки и хранения персональных данных

4.1. Сроки обработки и хранения персональных данных определяются в соответствии с Законодательством РФ. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажном носителе.

4.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели хранения персональных данных, если срок хранения персональных данных не установлен Федеральным законом.

Персональные данные подлежат уничтожению либо обезличиванию в следующих случаях:

- при достижении целей такой обработки, а так же по истечению срока предусмотренного Законодательством РФ или согласия Субъекта персональных данных на обработку его персональных данных.

 Такие данные подлежат уничтожению в срок, не превышающий 30 рабочих дней с даты достижения цели обработки персональных данных.

В случае отзыва субъектом своих персональных данных оператор персональных данных обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий три рабочих дня с даты получения указанного отзыва. Об уничтожении персональных данных оператор персональных данных в течение трех рабочих дней обязан уведомить субъекта персональных данных.

- в случае выявления неправомерной обработки персональных данных, осуществляемой оператором персональных данных, оператор персональных данных в срок, не превышающий 3 рабочих дня с даты выявления неправомерной обработки персональных данных, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных.

 В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор персональных данных в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении неправомерной обработки персональных данных или об уничтожении персональных данных оператор персональных данных обязан уведомить субъекта персональных данных или его представителя.

- при уничтожении документов, содержащих персональные данные с истекшим сроком хранения, комиссией составляется акт об уничтожении с описью уничтожаемых дел.

- в случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в пункте 8 Положения, оператор персональных данных, обеспечивает уничтожение персональных данных в срок до 6 месяцев, если иной срок не установлен действующим законодательством РФ.

5. Обработка персональных данных в информационных системах

5.1. Обработка персональных данных в информационных системах осуществляется в соответствии с постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.»

6. Обеспечение безопасности персональных данных

6.1. Обеспечение безопасности персональных данных в информационных системах персональных данных достигается путем исключения несанкционированного, в том числе случайного доступа к персональным данным, в том числе включает в себя:

- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

-применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах;

-применения прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

-оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;

-учета машинных носителей персональных данных;

-обнаружение фактов санкционированного доступа к персональным данным и принятием мер по прекращению несанкционированного доступа;

-восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

-установление правил доступа (пароль, логин и др.) к персональным данным, обрабатываемым в информационных системах персональных данных, а так же обеспечения регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных.

Сотрудники имеющие доступ к информационным системам персональных данных, обязаны:

- принимать меры, исключающие несанкционированный доступ к используемым программно-техническим средствам;

-вести учет электронных носителей информации, содержащих персональные данные, и осуществлять их хранение в металлических шкафах или сейфах;

- производить запись персональных данных (отдельных файлов, баз данных) на электронные носители только в случаях, регламентированных порядком работы с персональными данными;

- соблюдать установленный порядок и правила доступа в информационные системы, не допускать передачу персональных кодов и паролей к информационным системам персональных данных;

- принимать все необходимые меры к надежной сохранности кодов и паролей доступа к информационным системам персональных данных;

-работать с информационными системами персональных данных в объеме своих полномочий, не допускать их превышения;

-обладать навыками работы с антивирусными программами в объеме, необходимом для выполнения функциональных обязанностей и требований по защите информации.

При работе сотрудников в информационных системах персональных данных запрещается:

- записывать значения кодов и паролей доступа к информационным системам персональных данных;

-передавать коды и пароли доступа к информационным системам персональных данных другим лицам;

-производить подбор кодов и паролей к информационным системам персональных данных:

-записывать на электронные носители с персональными данными посторонние программы и данные;

- копировать информацию с персональными данными на не уточненные электронные носители информации;

-выносить электронные носители с персональными данными за пределы территории;

- покидать рабочее место с включенным персональным компьютером без применения аппаратных или программных средств блокирования, доступа к персональному компьютеру;

-приносить, самостоятельно устанавливать и эксплуатировать на персональном компьютере любые программные продукты, не принятые к эксплуатации;

-открывать, разбирать, ремонтировать персональные компьютеры, вносить изменения в конструкцию, подключать нештатные блоки и устройства;

- передавать информацию, содержащую персональные данные, подлежащие защите, по открытым каналам связи(факсимильная связь, электронная почта и иное), а также использовать сведения, содержащие персональны данные, подлежащие защите, в отрытой переписке и при ведении переговоров по телефону.

Предоставление доступа сотрудникам к обработке персональных данных осуществляется на основании приказа о включении соответствующего сотрудника в список лиц, имеющих доступ к персональным данным, обрабатываемым в информационных системах персональных данных и без использования средств автоматизации, и подписания должностной инструкции, с отображением соответствующей информации, а так же документов о неразглашении персональных данных, которые будут ему известны при исполнении служебных обязанностей, и о соблюдении требований ЛНА, регулирующих порядок обращения с персональными данными.

При работе с документами на бумажном носителе, содержащими персональными данные, уполномоченные на обработку персональных данных сотрудники обязаны:

- знакомиться только с теме документами, содержащими персональные данные, к которым получен доступ в соответствии со служебной необходимостью;

-хранить в тайне ставшие известными им сведения, содержание персональные данные, подлежащие защите, информировать непосредственного руководителя о фактах нарушения порядка работы с персональными данными и о попытках несанкционированного доступа к ним;

-о допущенных нарушениях установленного порядка работы, учета и хранения документов, содержащих персональные данные, а так же о фактах разглашения сведений, содержащих персональные данные, подлежащих защите, представлять непосредственным руководителям письменные объяснения.

Контроль за исполнением сотрудниками требований настоящей Политики возлагается на руководителей структурных подразделений и назначенного приказом ответственного лица за организацию обработки персональных данных.